Un troyano de Android roba dinero usando la app oficial de PayPal

De todos los troyanos que ha habido en la historia de Android, ESET ha descubierto uno de los peores. Si eres de los que usa el móvil para pagar por Internet y tienes instalada la app de PayPal, una app falsa es capaz de generar un cobro de 1.000 euros a tu cuenta de PayPal, incluso aunque tengas activada la verificación en dos pasos.

Optimization Android: una app que roba 1.000 euros de Paypal en menos de 5 segundos

El nombre de la app es “Optimization Android”, y se vale de los servicios de Accesibilidad del sistema operativo para poder operar con total tranquilidad. El origen de esta app está en tiendas de terceros con apps no verificadas, así que recomendamos que no las utilicéis.

Cuando instalas la app, se crea un servicio de Accesibilidad llamado “Habilitar estadísticas”, para el cual pide acceso para observar tus acciones en el móvil y ver el contenido de la app con la que estamos interactuando. Con estos permisos, la app puede emular pulsaciones en la pantalla, y puede crear notificaciones.

Aquí es donde se originan los problemas, ya que la app genera una notificación haciéndose pasar por PayPal, alertando al usuario de que tiene que loguearse en la app. Si tienes la app oficial instalada, al pulsar en la notificación se te lleva a ella. En este caso, la verificación en dos pasos no sirve de nada para protegerte de un atacante, que está viendo todo lo que haces en la pantalla.

Cuando te logueas, la app maliciosa toma el control del móvil automáticamente y envía 1.000 euros de tu cuenta a una cuenta gestionada por el hacker. Todo el proceso tarda menos de 5 segundos, como se puede ver en el siguiente vídeo.

El email y la cifra se introducen automáticamente, y una vez te das cuenta ya no puedes hacer nada para pararlo. La única manera de frenarlo automáticamente es si no tienes fondos suficientes en PayPal y no tienes ningún otro método de pago asociado.

También busca robar tu cuenta de Google o tu tarjeta mediante phishing

Por si fuera poco, la app también va superponiendo pantallas de acceso falsas en apps como Skype, WhatsApp o Google Play. En ellas se pide directamente el número de tarjeta de crédito. La app descarga el overlay en HTML, y también muestra una para acceder a la cuenta de Google, a través de la cual puede tener acceso a todas nuestras contraseñas si no tenemos activada la verificación en dos pasos.

Desde We Live Security creen que el atacante está trabajando por expandir las funcionalidades de la app, añadiéndole funciones de ransomware para bloquear el móvil de una persona y pedirle un rescate a cambio de desbloquearlo.

Por ello, recomendamos que sólo instaléis apps de la Google Play Store, que no instaléis aplicaciones pirata, y que analicéis con detalle los permisos que pide cada una. Si vais a instalar un APK, aseguraos de que viene de una fuente fiable.

Fuente: adslzone