Onderzoekers hebben Android-malware ontdekt die van nepclicks gebruikmaakt om geld van PayPal-gebruikers te stelen. De malafide app doet zich voor als batterijoptimalisatietool en wordt verspreid via onofficiële appstores. Zodra de gebruiker de malware heeft geïnstalleerd vraagt die om "statistieken" in te schakelen. In werkelijkheid wordt er op deze manier een malafide 'accessibility service' ingeschakeld.

Vervolgens kijkt de malware of de officiële PayPal-app op het toestel is geïnstalleerd. Wanneer dit het geval is verschijnt er een notificatie waarin de gebruiker wordt gevraagd om de app te starten. Zodra de gebruiker de PayPal-app opent en inlogt, zal de malafide accessibility service, wanneer ingeschakeld door de gebruiker, clicks van de gebruiker nabootsen om zo geld naar het PayPal-adres van de aanvaller over te maken.

Tijdens onderzoek van anti-virusbedrijf ESET probeerde de malware elke keer bij het starten van de PayPal-app 1000 euro over te maken. De valuta is echter afhankelijk van de locatie van het slachtoffer. Volgens de onderzoekers neemt het gehele proces vijf seconden in beslag en hebben nietsvermoedende gebruikers geen manier om de transactie te stoppen. Omdat de malware niet afhankelijk is van gestolen PayPal-inloggegevens, de gebruiker logt namelijk zelf in, omzeilt het ook de tweefactorauthenticatie van PayPal.

De aanval mislukt wanneer de gebruiker onvoldoende geld op zijn PayPal-rekening heeft staan en er geen betaalkaart aan het account is gekoppeld. Verder blijkt de malware via phishingvensters inloggegevens voor onder andere Gmail te stelen. Bij een succesvolle transactie verstuurt PayPal een e-mailbericht. De onderzoekers vermoeden dat de aanvallers met de gestolen Gmail-inloggegevens deze e-mails verwijderen zodat ze langer onopgemerkt blijven.