Sommigen van ons werden vanmorgen wakker voor wat een serieuze beveiligingsschrik leek voor veel Android-gebruikers.
De malware werd voor het eerst gedetecteerd door ESET in november 2018 en combineert de mogelijkheden van een op afstand bestuurde Trojan voor bankieren met een nieuw misbruik van Android Accessibility-services om gebruikers van de officiële PayPal-app te targeten.
Dit verhaal ging vergezeld van een enge video, waarin werd aangetoond dat deze malafide app je zag "inloggen" bij PayPal en vervolgens je proces kopieerde om in te loggen. Wat dit bijzonder enge uiterlijk maakt, is de manier waarop het lijkt om 2-Factor Authentication te omzeilen en vervolgens namens u geld verzenden. Zonder dat de gebruiker het ooit wist, logde deze app in en stuurde je je geld weg. Angstaanjagende dingen, toch? Nou, er is een addertje onder het gras. Eigenlijk zijn er verschillende.
De eerste, zoals opgemerkt door het oorspronkelijke team dat deze trojan rapporteert (mijn nadruk):
de malware vermomt zich als een tool voor batterijoptimalisatie en wordt verspreid via app-winkels van derden.
Ok, dus dit frauduleuze hulpprogramma voor batterijoptimalisatie is helemaal niet beschikbaar via Google Play. Controleren. Nu, wanneer de app is geïnstalleerd, hoe doet het zijn ding? Werkt deze app echt op de achtergrond met de gebruiker niettemin wijzer? Nou, niet precies. Nogmaals, van het oorspronkelijke team dat hierover rapporteert (nadruk van mij):
dit verzoek wordt aan de gebruiker gepresenteerd als afkomstig van de onschuldig klinkende service "Statistieken inschakelen".
Dat klopt, je krijgt een toestemmingsverzoek wanneer deze malafide app voor het eerst wordt uitgevoerd. En die toestemming voor "onschuldig klinkende" bevat de woorden Observeer uw acties in de beschrijving in zeer grote vetgedrukte letters. Niet echt een rood knipperende waarschuwing, maar zoals elke toestemming moet je ervoor kiezen om het in te schakelen. Als u dat niet doet, kan de app niets doen.
Dus zodra deze frauduleuze batterij-app is geïnstalleerd vanuit een externe bron en u hem blindelings toegang geeft tot uw telefoon door uw machtigingen niet te lezen, sluimert deze dan gewoon op de achtergrond en wacht op staking? Nee. Nogmaals, van het oorspronkelijke team dat hierover rapporteert (nadruk van mij):
Als de officiële PayPal-app op het gecompromitteerde apparaat is geïnstalleerd, geeft de malware een melding weer waarin de gebruiker wordt gevraagd deze te starten.
U krijgt een melding dat u zich moet aanmelden bij PayPal van iets dat niet PayPal is en u doet het gewoon? Werkelijk? Dat is niet hoe dit allemaal werkt.
Dus om samen te vatten, deze Super Serious Android Trojan:
- Was niet in de Google Play Store, dus u moet downloaden van een willekeurige winkel en onbekende bronnen inschakelen om het zelfs te installeren.
- Vraagt om een vrij ongebruikelijke toestemming zodra u deze opent.
- Geeft u onmiddellijk een melding waarin u wordt gevraagd in te loggen bij PayPal.
Individueel zijn dit waarschuwingsvlaggen. Samen is dit in feite iemand die je een brief per e-mail stuurt met het verzoek om hem te laten weten wanneer je niet thuis bent, zodat ze je kunnen beroven.
Dit is geen echte beveiligingsdreiging. Helemaal niet. Hoewel een echte beveiligingsdreiging is, vertrouwt PayPal nog steeds op niets anders dan een sms-levering voor tweefactorauthenticatie. Het is 2018, mensen. Krijg een echt tokensysteem.
