近日，电脑安全软件公司ESET发现一个恶意应用程序“Optimization Battery”，该恶意应用程序隐藏在电池优化程序中可自动从用户的PayPal账户中窃取资金。Optimization Battery恶意应用程序最初于2018年11月被发现，是一个远程控制银行的组合功能木马。它具有利用Android辅助功能服务的独特属性，使用该服务即可定位官方PayPal应用程序。

ESET IT安全研究人员说：“它隐藏在名为Optimization Android的电池优化工具中，通过第三方应用商店以及内置在Google Play商店中的一些应用来完成分发。这款恶意程序专门针对Android用户下手，并被设定了默认情况下窃取PayPal账户1000美元的攻击行为。”

值得一提的是，该恶意软件不会自动运行，需要用户自行打开PayPal应用或者打开来自PayPal应用的推送消息来完成启动。一旦启动应用，恶意软件的自动化系统会终止应用的一切操作功能并接管屏幕控制权。

“整个过程在十秒内完成，这么短的时间内，用户根本没有时间干预。”在复原攻击的过程中，ESET研究员Lukas Stefanko跟踪到该恶意应用程序试图转移1000欧元（1150美元）。他发现，发动攻击并不是恶意程序本身，而是先隐蔽窃取用户的PayPal帐户然后耐心地等待用户登录PayPal，这样它就逃避了PayPal的2FA（双因子验证，是一种安全密码验证方式）流程。

也就是说，恶意程序能从用户眼皮底下进行PayPal汇款，受害者甚至没有机会停止非法交易。

ESET在报告中提到，除了PayPal资金盗窃之外，这个木马还可以在运行其他程序时显示叠加层（WhatsApp，Google Play，Gmail，Viber和Skype）诱骗用户交出账户详细信息，而在启动Gmail应用时还会要求用户填写Google登录凭据；其次，它还可以拦截、发送和删除所有短信并更改默认的SMS应用程序（绕过基于SMS的双因素身份验证）。

这些功能之所以能够实现，是因为恶意软件程序获取了Android系统的“辅助功能”权限，该权限允许程序开通访问性服务权限并代替用户完成操作。

对此，ESET在报告中写道：“这次的恶意程序攻击事件在巴西漫延，好在其只是通过第三方平台和软件进行传播，预计目前的涉猎范围还不是很大。但是，我们不知道它是否正通过其他渠道流向更多Android用户的手机上。”

目前，ESET已经将该恶意程序的详细情况通知PayPal公司，并要求该公司冻结该恶意软件作者的PayPal帐户，并对于受到影响的用户支持通过PayPal的解决方案中心请求交易撤销。