近日，電腦安全軟件公司ESET發現一個惡意應用程序“Optimization Battery”，該惡意應用程序隱藏在電池優化程序中可自動從用戶的PayPal賬戶中竊取資金。Optimization Battery惡意應用程序最初於2018年11月被發現，是一個遠程控制銀行的組合功能木馬。它具有利用Android輔助功能服務的獨特屬性，使用該服務即可定位官方PayPal應用程序。

ESET IT安全研究人員說：“它隱藏在名為Optimization Android的電池優化工具中，通過第三方應用商店以及內置在Google Play商店中的一些應用來完成分發。這款惡意程序專門針對Android用戶下手，並被設定了默認情況下竊取PayPal賬戶1000美元的攻擊行為。”

值得一提的是，該惡意軟件不會自動運行，需要用戶自行打開PayPal應用或者打開來自PayPal應用的推送消息來完成啟動。一旦啟動應用，惡意軟件的自動化系統會終止應用的一切操作功能並接管屏幕控制權。

“整個過程在十秒內完成，這麼短的時間內，用戶根本沒有時間干預。”在復原攻擊的過程中，ESET研究員Lukas Stefanko跟踪到該惡意應用程序試圖轉移1000歐元（1150美元）。他發現，發動攻擊並不是惡意程序本身，而是先隱蔽竊取用戶的PayPal帳戶然後耐心地等待用戶登錄PayPal，這樣它就逃避了PayPal的2FA（雙因子驗證，是一種安全密碼驗證方式）流程。

也就是說，惡意程序能從用戶眼皮底下進行PayPal匯款，受害者甚至沒有機會停止非法交易。

ESET在報告中提到，除了PayPal資金盜竊之外，這個木馬還可以在運行其他程序時顯示疊加層（WhatsApp，Google Play，Gmail，Viber和Skype）誘騙用戶交出賬戶詳細信息，而在啟動Gmail應用時還會要求用戶填寫Google登錄憑據；其次，它還可以攔截、發送和刪除所有短信並更改默認的SMS應用程序（繞過基於SMS的雙因素身份驗證）。

這些功能之所以能夠實現，是因為惡意軟件程序獲取了Android系統的“輔助功能”權限，該權限允許程序開通訪問性服務權限並代替用戶完成操作。

對此，ESET在報告中寫道：“這次的惡意程序攻擊事件在巴西漫延，好在其只是通過第三方平台和軟件進行傳播，預計目前的涉獵範圍還不是很大。但是，我們不知道它是否正通過其他渠道流向更多Android用戶的手機上。”

目前，ESET已經將該惡意程序的詳細情況通知PayPal公司，並要求該公司凍結該惡意軟件作者的PayPal帳戶，並對於受到影響的用戶支持通過PayPal的解決方案中心請求交易撤銷。