ESET, la compañía de seguridad informática, ha descubierto un troyano Android capaz de salvar la autenticación multifactor requerida para acceder a la aplicación oficial de PayPal y robar dinero a sus usuarios.
El sistema de autenticación por doble factor se ha convertido en una piedra angular para que organizaciones y consumidores puedan proteger los datos y usar de forma segura los servicios de Internet. Y funciona perfectamente en el servicio de pagos en línea. La cuestión aquí es otra.
El troyano Android aprovecha el eslabón más débil de la cadena, el propio usuario. Primero se camufla dentro de una app de optimización de batería de smartphones que se distribuye fuera de la tienda oficial de Google.
Una vez descargada la aplicación detiene inmediatamente la supuesta funcionalidad anunciada, oculta su icono y busca inmediatamente si la víctima tiene una cuenta de PayPal. Si la encuentra, muestra una alerta de notificación solicitando permiso para observar las acciones del teléfono y recibir notificaciones cuando interactúa con la aplicación y para recuperar el contenido que se muestra en la pantalla. Casi nada. Otro error del usuario aceptar ese tipo de permisos que jamás deben de autorizarse.
El malware emite un mensaje pidiendo a la víctima que abra su cuenta de PayPal e inicie sesión. Aquí ya estamos perdidos, porque permite que los permisos previamente autorizados capturen los datos ingresados. A partir de ahí, la aplicación maliciosa utiliza esta información para enviar dinero a la cuenta de PayPal de los delincuentes.
La investigación de ESET encontró que la transacción completa demora unos cinco segundos, demasiado rápido para que la víctima intente detenerla. Incluso, el proceso se repite cada vez que el usuario accede a su cuenta de PayPal y solo falla si no hay suficientes fondos en la cuenta.
