Cercetătorii în domeniul securității cibernetice au ajutat la eliminarea unei aplicații false de autentificare în doi factori (2FA) din magazinul Google Play, care a ascuns un malware binecunoscut care fura acreditări bancare.
Aplicația, numită 2FA Authenticator, a fost descoperită de oamenii de securitate de la firma de securitate Pradeo. S-a deghizat într-o aplicație legitimă 2FA și a folosit capacul pentru a împinge programul malware Vultur relativ nou, dar extrem de periculos, conceput pentru a fura acreditările bancare.
În raportul lor, cercetătorii notează că aplicația de autentificare 2FA complet funcțională a fost eliminată de pe Google Play pe 27 ianuarie, după ce a rămas disponibilă în magazin timp de peste două săptămâni, unde a înregistrat peste 10.000 de descărcări.
Conform cercetătorilor, actorii amenințărilor au dezvoltat aplicația folosind aplicația de autentificare Aegis autentică, open-source, înainte de a infuza în ea funcționalitate rău intenționată.
Pradeo susține că înșelăciunea elaborată a aplicației false i-a permis să se deghizeze cu succes în instrument de autentificare și să treacă controlul ocazional al utilizatorilor. Totuși, ceea ce i-a speriat pe cercetători au fost solicitările elaborate ale aplicației pentru permisiuni, inclusiv accesul la cameră și biometric, alertele de sistem, interogarea pachetelor și capacitatea de a dezactiva blocarea tastelor.
Aceste permisiuni sunt mult mai mari decât cele cerute de aplicația originală Aegis și nu au fost dezvăluite în profilul Google Play al aplicației. De asemenea, îi lasă pe utilizatori expuși unui risc de furt de date financiare și alte atacuri ulterioare, chiar dacă utilizatorul care descarcă nu a folosit aplicația.
În timp ce aplicația falsă 2FA a fost eliminată din Magazinul Play, Pradeo îi avertizează pe utilizatorii care au instalat aplicația să o elimine manual imediat.