Algunos de nosotros nos despertamos esta mañana con lo que parecía un grave susto de seguridad para muchos usuarios de Android.
Detectado por primera vez por ESET en noviembre de 2018, el malware combina las capacidades de un troyano bancario controlado a distancia con un nuevo uso indebido de los servicios de accesibilidad de Android, para dirigirse a los usuarios de la aplicación oficial de PayPal.
Esta historia fue acompañada por un video aterrador, que demostró que esta aplicación maliciosa "mira" que inicias sesión en PayPal y luego copia tu proceso para iniciar sesión. Lo que hace que este aspecto particularmente aterrador sea la forma en que parece pasar por alto la autenticación de 2 factores y luego enviando dinero en su nombre. Sin que el usuario lo supiera, esta aplicación iniciaba sesión por usted y le enviaba su dinero. Cosas aterradoras, ¿verdad? Bueno, hay una trampa. En realidad, hay varios.
El primero, como lo señaló el equipo original que informa este troyano (el énfasis es mío):
el malware se está haciendo pasar por una herramienta de optimización de batería y se distribuye a través de tiendas de aplicaciones de terceros.
Ok, entonces esta herramienta de optimización de batería no está disponible en Google Play. Comprobar. Ahora, cuando la aplicación está instalada, ¿cómo hace lo suyo? ¿Esta aplicación realmente funciona en segundo plano sin que el usuario sea más sabio? Bueno no exactamente. Nuevamente, desde el equipo original que informa sobre esto (énfasis mío):
esta solicitud se presenta al usuario como parte del servicio "Habilitar estadísticas" que suena inocuo.
Así es, obtienes una solicitud de permiso cuando se ejecuta esta aplicación maliciosa por primera vez. Y ese permiso de "sonido inocuo" incluye las palabras Observe sus acciones en la descripción en letras grandes y audaces. No es exactamente una advertencia roja intermitente, pero como cualquier permiso que tenga que elegir para habilitarla. Si no lo hace, la aplicación no puede hacer nada.
Entonces, una vez que esta aplicación de batería malintencionada se instala desde una fuente de terceros y le da ciegamente acceso a su teléfono al no leer sus permisos, ¿simplemente se esconde en el fondo esperando para atacar? No. Una vez más, del equipo original que informa sobre esto (énfasis mío):
Si la aplicación oficial de PayPal está instalada en el dispositivo comprometido, el malware muestra una alerta de notificación que solicita al usuario que la inicie.
Recibes una notificación que te indica que inicies sesión en PayPal desde algo que no es PayPal, ¿y simplemente lo haces? De Verdad? Así no es como funciona nada de esto.
Para recapitular, este troyano Android Super Serious:
- No estaba en Google Play Store, por lo que debe descargarlo de una tienda aleatoria y habilitar fuentes desconocidas para incluso instalarlo.
- Pide un permiso bastante inusual tan pronto como lo abra.
- Inmediatamente le da una notificación pidiéndole que inicie sesión en PayPal.
Individualmente, estas son banderas de advertencia. Juntos, se trata básicamente de alguien que le envía una carta por correo pidiéndole que les avise cuando no estará en casa para que puedan robarle.
Esto no es una amenaza de seguridad real. En absoluto. Aunque lo que es una amenaza de seguridad real es que PayPal sigue confiando en nada más que en la entrega de un mensaje de texto para la autenticación de dos factores. Es 2018, amigos. Obtén un verdadero sistema de tokens.
