在Android上发现了一些糟糕的特洛伊木马程序，但这可能是最糟糕的特洛伊木马程序之一。这个新的威胁自动支付1000美元的贝宝交易，并发送它使用官方贝宝应用程序，甚至在帐户上启用2FA。

贝宝被劫持

它使用了几种不同的方法并利用了Android的易访问***。该恶意应用目前伪装成Android优化工具，并通过第三方应用商店进入用户**。所以对于初学者来说，不要使用第三方应用商店。

安装时，“优化Android”（说真的，你为什么要先安装这样一个名字的东西？）还创建了一个名为“Enable statistics”的辅助功能服务，然后请求访问此功能，这似乎是无害的，它将允许应用程序监视用户操作并检索窗口内容。如果你认为这一切都是为了让你的**更快，这几乎是有道理的。

但这正是事情变得更糟的地方，因为现在特洛伊木马可以有效地模拟触摸。它会生成一个通知，看起来像是来自PayPal，敦促用户登录。

点击后，此通知将打开正式的PayPal应用程序（如果已安装）-因此这不是钓鱼企图。官方应用程序打开并要求用户登录。由于这是一个合法的登录尝试内的官方应用程序，2FA不做任何事，以确保帐户的安全，你只需正常登录，输入你的2FA代码时，它进来。

一旦你登录，恶意应用就会接管，从你的PayPal帐户向攻击者转移1000美元。这个自动化过程在不到五秒钟的时间内完成。我们现场安保**了整个过程的视频，这一切发生的速度之快让人相当疯狂：

当你意识到发生了什么事的时候，阻止它已经太迟了。唯一能阻止这个过程一旦开始就是如果贝宝余额太低，没有其他的融资方式。所以它只是默认取消。否则，你就输了一千块。

但这还没有结束。

叠加攻击

这种木马不仅攻击用户的PayPal账户，还利用Android的屏幕覆盖功能，将非法登录屏幕置于合法应用之上。

这些恶意软件下载了googleplay、WhatsApp、Skype和Viber的HTML覆盖屏幕，然后用它们来仿冒信用卡的详细信息。它还可以为Gmail登录创建覆盖，窃取用户的登录凭据。

虽然覆盖攻击目前仅限于上述应用程序，但列表可以随时更新，这意味着这种类型的攻击可以在任何时候扩展，窃取攻击者想要的基本上任何类型的信息。We Live Security接着强调，攻击者可能正在探索使用覆盖的其他选项：

According to our ****ysis, the authors of this Trojan have been looking for further uses for this screen-overlaying mechani**. The malware’s code contains strings claiming the victim’s phone has been locked for displaying child ****ography and can be unlocked by sending an email to a specified address. Such claims are reminiscent of early mobile ransomware attacks, where the victims were scared into believing their devices were locked due to reputed police sancti***. It is unclear whether the attackers behind this Trojan are also planning to extort money from victims, or whether this functionality would merely be used as a cover for other malicious acti*** happening in the background.

如何保持安全

虽然我们有一篇关于如何避免Android恶意软件的详细文章，但这里有一篇TL；DR关于保持安全的文章：

1. 只安装来自Google Play的应用程序。避免使用第三方应用程序商店，尤其是那些承诺免费付费应用程序的应用程序商店。
2. 侧装时要小心。如果侧载应用程序，首先确保它是合法的。
3. 不要安装盗版应用程序。说真的。这不仅是垃圾，而且有可能让你面对各种恶意垃圾。
4. 做你的研究。即使在使用googleplay、阅读评论和关注的同时比大多数第三方商店更安全，Play商店也并非完全不受恶意软件的影响。

相关：如何避免Android上的恶意软件

来源：我们生活在安全之中