Вредоносное программное обеспечение для Android, замаскированное под оптимизатор работы батареи, в считанные секунды снимает со счета PayPal 1000 евро и отправляет их мошенникам. Троян был впервые обнаружен антивирусной компанией в ноябре 2018 года, а сообщила она об этом 11 декабря.
Программа является сторонним приложением, в официальном магазине Google Play ее нет. Об этом пишет racurs.ua.
После запуска вредоносное приложение закрывается, не предлагая никаких действий, и скрывает свой значок. Далее оно работает в двух направлениях. Первая функция вредоносного ПО — кража денег со счетов своих жертв в PayPal -требует активации специальных возможностей. Запрос выглядит как безобидное диалоговое окно, предлагающее «Включить статистику».
Если на устройстве установлено официальное приложение PayPal, вирус выдает уведомление, которое просит пользователя запустить его. Далее, если пользователь вошел в свой кошелек, деньги просто переводятся на адрес PayPal злоумышленников. Весь процесс занимает около пяти секунд, и его никак нельзя остановить. По умолчанию сумма, которую пытаются снять мошенники, составляет 1000 евро.
Деньги не будут сняты только в том случае, если баланс PayPal недостаточен и если к учетной записи не подвязана платежная карта. При этом вредоносная программа активируется каждый раз, когда запускается приложение PayPal, то есть атака происходит неоднократно.
Вторая функция вредоносного ПО использует фишинговые экраны, расположенные поверх официальных приложений. То есть пользователь вводит данные своей карты не в то приложение, в которое думает, а отправляет злоумышленникам.
Кроме того, троян может контролировать sms-сообщения, получать доступ к телефонной книге и списку установленных приложений, совершать звонки, устанавливать и запускать программы и др.
В компании отметили, что нашли также пять похожих вредоносных программ в официальном магазине Google Play, которые предлагаются жителям Бразилии.