ESET发现，隐藏在电池优化应用程序中的新Android木马可以从用户的PayPal账户中窃取资金，即使是受双因素身份验证保护的用户也难以幸免。不过这款名为Optimization Battery的恶意应用程序目前仅通过第三方应用程序商店提供，而非官方应用商店，这意味着到目前为止受感染的用户数量不多。

尽管如此，这个恶意应用程序仍然很危险，因为它拥有一个自动化系统，能从用户眼皮底下进行PayPal汇款，受害者甚至没有机会停止非法交易。

而发生这种情况是因为在安装过程中，应用程序请求访问Android“辅助功能”权限，这项功能涉及的权限级别较高，允许应用程序自动执行屏幕点击和操作系统交互。可是恶意应用程序获得此权限后，却不会立即使用它。直到用户自己打开PayPal应用程序，或者执行由木马触发的误导性通知。用户打开官方PayPal应用程序后，进行登录并输入双因素身份验证代码时，恶意应用程序才开始行动。

ESET研究人员观察到，木马程序滥用可访问的服务模仿设备屏幕点击。这一系列点击打开一个新的PayPal转账，输入收款人的PayPal账户和要转账的金额，然后快速批准。全程大约只需要5秒钟，对于毫无准备的用户来说，难以实行可行的措施及时干预。

默认情况下，木马程序会试图窃取该用户的PayPal帐户货币的1,000个单位。在研究人员的案例中，它是1000欧元。由于木马的编码方式，每次用户访问其PayPal应用程序时都会发生这种自动交易。唯一失败的时候是用户的钱用光了，或者他的PayPal账户里没有任何资金。

ESET在报告中提到，除了PayPal资金盗窃之外，这个木马还可以：

1. 启动其他应用程序时显示叠加层，诱骗用户交出卡片详细信息（Google Play，WhatsApp，Viber和Skype）

2. 启动收集Google登录凭据的Gmail应用时显示叠加层

3. 显示登录叠加到各种移动银行应用程序的网络钓鱼凭证

4. 拦截并发送短信; 删除所有短信; 更改默认的SMS应用程序（绕过基于SMS的双因素身份验证）

5. 获取联系人列表

6. 拨打和转接电话

7. 获取已安装应用的列表

8. 安装应用，运行已安装的应用

9. 启动套接字通信

这些功能之所以得以实现，是因为恶意应用程序被授予访问Android易访问性服务的权限。在批准任何应用程序访问此高风险的服务之前，用户都应格外小心，尤其是安装从非官方来源安装的应用程序。目前ESET已经通知PayPal这个应用程序，并要求该公司冻结该恶意软件作者的PayPal帐户。认为可能受此应用程序影响的PayPal用户可以通过PayPal的解决方案中心请求交易撤销。