La firma de seguridad ESET descubrió un nuevo malware disfrazado como aplicación de optimización de la batería llamada Android Optimization. La herramienta permite a los delincuentes tomar el control de una cuenta de PayPal y robar dinero en segundos sin que el usuario pueda detenerlo.

El malware se descubri√≥ en noviembre y se han publicado los detalles del mismo hace unas horas. La app se distribuye en tiendas de aplicaciones de terceros (no est√° en la tienda oficial de Google Play). Adem√°s, el malware no es solo una ejecuci√≥n del troyano bancario, sino que es capaz de aprovechar los Servicios de Accesibilidad de Google, dise√Īados para ayudar a las personas con discapacidades, para enga√Īar a los usuarios para que den a los delincuentes el control del tel√©fono. Seg√ļn explican en Motherboard:

Una vez instalado, el malware solicita permiso al usuario para ‚ÄúHabilitar estad√≠sticas‚ÄĚ. Esta funci√≥n de sonido inocente permite que el malware y sus creadores reciban notificaciones cuando el usuario interact√ļa con ciertas aplicaciones e inspecciona el contenido de la ventana con la que est√°n interactuando. En otras palabras, permite que los ciberdelincuentes tomen el control del tel√©fono de forma remota cuando el usuario abre ciertas aplicaciones. En este caso: PayPal, Google Play, WhatsApp, Skype, Viber, Gmail y algunas aplicaciones bancarias.

Seg√ļn ha explicado ESET, la funci√≥n m√°s peligrosa del malware se activa cuando los usuarios abren la aplicaci√≥n de PayPal. En ese momento, si han ca√≠do en el truco de ‚ÄúHabilitar estad√≠sticas‚ÄĚ, el malware se hace cargo y env√≠a los pagos a los delincuentes. Esto funciona incluso si el usuario tiene habilitada la autenticaci√≥n de dos factores, porque el malware solo espera que el usuario inicie sesi√≥n, como se muestra en el video de arriba realizado por ESET. Tal y como explica la firma en su p√°gina:

Todo el proceso toma aproximadamente 5 segundos, y para un usuario desprevenido no hay una manera viable de intervenir a tiempo. Los atacantes solo fallan si el usuario no tiene suficiente saldo de PayPal y no tiene una tarjeta de pago conectada a la cuenta. El servicio de accesibilidad malicioso se activa cada vez que se lanza la aplicación de PayPal, lo que significa que el ataque podría tener lugar varias veces .

¬ŅQu√© hacer? Como se ha dicho infinidad de veces, tener mucho cuidado desconfiando de las aplicaciones que no conozcas y no est√©n en Google Play. [Motherboard]