Un troyano Android roba a usuarios de PayPal tras salvar la autenticación 2FA ¡Cuidado!

La firma de seguridad ESET ha descubierto un troyano Android capaz de salvar la autenticación multifactor requerida para acceder a la aplicación oficial de PayPal y robar dinero a sus usuarios.

El sistema de autenticación por doble factor se ha convertido en una piedra angular para que organizaciones y consumidores podamos proteger los datos y usar de forma segura los servicios de Internet. Y funciona perfectamente en el servicio de pagos en línea. La cuestión aquí es otra.

Este curioso troyano Android utiliza la fórmula más sencilla, aprovechar el eslabón más débil de la cadena, el propio usuario. Primero se camufla dentro de una app de optimización de batería de smartphones que se distribuye fuera de la tienda oficial de Google y que huele a camelo (o a algo peor como al final termina siendo) a kilómetros de distancia.

Seamos sensatos. Quién instala este tipo de apps basura que no sirven absolutamente para nada cuando hay consejos probados y seguros para mejorar la autonomía de un smartphone Android. Y más si se distribuyen fuera de la tienda oficial.

Pues sigue sucediendo. Una vez descargada la aplicación detiene inmediatamente la supuesta funcionalidad anunciada, oculta su icono y busca inmediatamente si la víctima tiene una cuenta de PayPal. Si la encuentra, muestra una alerta de notificación solicitando permiso para observar las acciones del teléfono y recibir notificaciones cuando interactúa con la aplicación y para recuperar el contenido que se muestra en la pantalla. Casi nada. Otro error del usuario aceptar ese tipo de permisos que jamás deben de autorizarse.

El malware emite un mensaje pidiendo a la víctima que abra su cuenta de PayPal e inicie sesión. Aquí ya estamos perdidos, porque permite que los permisos previamente autorizados capturen los datos ingresados. A partir de ahí, la aplicación maliciosa utiliza esta información para enviar dinero a la cuenta de PayPal de los delincuentes. Y no poco, 1.000 euros.

La investigación de ESET encontró que la transacción completa demora unos cinco segundos, demasiado rápido para que la víctima intente detenerla. Incluso, el proceso se repite cada vez que el usuario accede a su cuenta de PayPal y solo falla si no hay suficientes fondos en la cuenta.

“Debido a que el malware no se basa en el robo de las credenciales de inicio de sesión de PayPal y en su lugar espera que los usuarios inicien sesión en la aplicación oficial, también omite la autenticación de dos factores de PayPal (2FA). Los usuarios con 2FA habilitado simplemente completan un paso adicional como parte de inicio de sesión, como lo harían normalmente, pero terminan siendo tan vulnerables al ataque de este troyano como los que no usan 2FA”, explican los especialistas de ESET. 

ESET ha notificado previamente a PayPal el modus operandi de ataque y la cuenta que recibe los fondos robados. ¡Muchísimo cuidado, que nos despluman! Más información | ESET