Ứng dụng độc hại có tên Optimization Battery hiện mới chỉ có trên các gian hàng ứng dụng của bên thứ ba và chưa chính thức có mặt trên CH Play. Vì vậy, tính đến thời điểm hiện tại số thiết bị có khả năng bị lây nhiễm còn hạn chế. Tuy nhiên, ứng dụng này nên được cảnh báo với mức độ cực kỳ nguy hiểm. Bởi nó có thể tự động chuyển tiền từ PayPal của người dùng mà không cho phép nạn nhân có bất kỳ cơ hội nào ngăn chặn.

Điều này xảy ra vì trong quá trình cài đặt, ứng dụng yêu cầu quyền truy cập vào quyền "Accessibility" của Android - một tính năng rất nguy hiểm cho phép ứng dụng tự động thực hiện các thao tác chạm màn hình và tương tác hệ điều hành. Trojan này ẩn mình cho đến khi người dùng truy cập ứng dụng hoặc hiển thị thông báo giả lừa người dùng truy cập PayPal. Sau khi gười dùng đăng nhập và vượt qua lớp bảo mật xác thực hai yếu tố, ngay lập tức trojan này sẽ bắt đầu thực hiện chuyển tiền trái phép.

"Toàn bộ quá trình giao dịch chỉ mất khoảng 5 giây và người dùng sẽ không có cách nào khả thi để can thiệp kịp thời", chuyên gia phân tích mã độc Lukas Stefanko của ESET cho biết. Mặc định, nếu tài khoản người dùng còn tiền, trojan sẽ tự động chuyển số tiền 1.000 đơn vị tiền tệ mà tài khoản PayPal đang sử dụng. Video dưới cho thấy toàn bộ quá trình diễn ra rất nhanh mà không cần phải xác thực.

Bên cạnh chức năng lấy cắp tiền từ PayPal, trojan này có thể thực hiện các tác vụ:

• Lấy cắp các thông tin mà người dùng đăng nhập vào các ứng dụng khác (Google Play, WhatsApp, Viber, Skype và Gmail).
• Giả mạo website ngân hàng điện tử để đánh cắp các thông tin đăng nhập.
• Chặn, gửi, xóa tin nhắn SMS và thay đổi ứng dụng SMS mặc định (để vượt qua xác thực hai yếu tố dựa trên SMS).
• Lấy cắp thông tin danh bạ và thực hiện chuyển tiếp cuộc gọi.
• Lấy thông tin danh sách các ứng dụng đã cài đặt.
• Cài đặt và chạy các ứng dụng có chủ đích.
• Mở giao tiếp socket.

Hầu hết các tính năng này đều được thực hiện do ứng dụng độc hại được cấp quyền dùng Accessibility trên Android. Người dùng cần hết sức cẩn thận trước khi phê duyệt bất kỳ ứng dụng nào yêu cầu được cấp quyền này, đặc biệt là những ứng dụng từ nguồn gốc không chính thức.

ESET đã thông báo cho PayPal về vấn đề này và yêu cầu công ty chặn tài khoản PayPal của tác giả phần mềm độc hại. Người dùng PayPal bị ảnh hưởng bởi ứng dụng này có thể yêu cầu trả lại tiền thông qua Trung tâm giải quyết của PayPal.