Un nuevo troyano ha aparecido en la Play Strore de Android, se trata de un troyano que puede robar el dinero de la cuenta de PayPal, incluso si estos cuentan con la autenticación de dos factores.

Este nuevo troyano fue descubierto por ESET el día de hoy y, según mencionan se encuentra de manera oculta dentro de una aplicación que promete sacarle provecho a tu batería llamada Optimization Battery.

Un troyano bancario mejorado

Según menciona en un comunicado Lukas Stefanko, analista de malware de ESET, este malware tiene la base de un troyano bancario controlado de forma remota que ha sido mejorado y se combina con los servicios de accesibilidad de Android  para la aplicación oficial de PayPal.

¿Cómo funciona?

Su funcionalidad se puede dividir en dos partes principales:

La primera función de este malware es robar dinero de las cuentas de PayPal, lo que requiere la activación de un servicio de accesibilidad malicioso. Una característica muy peligrosa que le permite a una aplicación automatizar los toques de pantalla y las interacciones del sistema operativo.

Este troyano presenta esta solicitud como si formara parte del servicio de ‘Habilitar estadísticas’ de Android. Si el usuario cuenta con la aplicación oficial de PayPal ya instalada en el dispositivo, el malware le solicita al usuario que lo inicie.

Una transferencia en 5 minutos

Luego de esto, una vez que el usuario abra la aplicación de PayPal e inicie sesión, este servicio de accesibilidad maliciosa interviene y realiza la transferencia a la dirección de PayPal del atacante justo delante del usuario y sin que este pueda hacer algo al respecto.

Todo el proceso toma alrededor de 5 segundos, y para un usuario desprevenido, no hay una manera viable de intervenir a tiempo.

La segunda función es la suplantación de identidades denominada phishing, y es que este troyano se muestra de forma encubierta sobre aplicaciones específicas y legítimas descargando pantallas de superposición basadas en HTML para cinco aplicaciones: Google Play, WhatsApp, Skype, Viber y Gmail.

Si bien esta es una técnica muy utilizada, la diferencia de esta en particular es que para superar esta pantalla de superposición es necesario rellenar el formulario falso, sin embargo, las entradas aleatorias e inválidas hacen que estas pantallas desaparezcan.

Stefanko mencionó que ESET notificó de este troyano a PayPal, pidiéndole además que bloquee la cuenta del autor del malware.

ESSET hace estas recomendaciones para evitar este tipo de malware para Android:

  1. Utilizar aplicaciones propias de Google Play.
  2. Verificar el número de descargas,calificaciones de las aplicaciones y el contenido de las mismas antes de descargar las aplicaciones.
  3. Revisar los permisos que se otorgan a las aplicaciones que instalamos.
  4. Mantener nuestro dispositivo actualizado.

Stefanko aclara que para la tranquilidad de todos esta aplicación no es propia de la Play Store sino de un tercero, lo que se traduce en que menos cantidad de usuarios han sido afectados por ella.

Sin embargo, si fuiste victima de esta aplicación puedes solicitar una anulación de la transacción a través del Centro de resoluciones de PayPal.