Analitycy cyberbezpieczeństwa pomogli usunąć fałszywą aplikację do uwierzytelniania dwuskładnikowego (2FA) ze sklepu Google Play, która ukrywała dobrze znane złośliwe oprogramowanie kradnące dane bankowe.
Aplikacja o nazwie 2FA Authenticator została wykryta przez detektywów z firmy ochroniarskiej Pradeo. Podszywał się pod legalną aplikację 2FA i wykorzystywał okładkę do wypchnięcia stosunkowo nowego, ale niezwykle niebezpiecznego złośliwego oprogramowania Vultur, zaprojektowanego do kradzieży danych uwierzytelniających bank.
W swoim raporcie badacze zauważają, że w pełni funkcjonalna aplikacja uwierzytelniająca 2FA została usunięta z Google Play 27 stycznia po tym, jak pozostawała dostępna w sklepie przez ponad dwa tygodnie, gdzie odnotowano ponad 10 000 pobrań.
Według naukowców cyberprzestępcy opracowali aplikację przy użyciu oryginalnej aplikacji uwierzytelniającej Aegis o otwartym kodzie źródłowym, zanim wprowadzili do niej złośliwą funkcjonalność.
Pradeo twierdzi, że wymyślne oszustwo fałszywej aplikacji pozwoliło jej z powodzeniem ukryć się jako narzędzie do uwierzytelniania i przejść kontrolę przypadkowych użytkowników. Jednak to, co wystraszyło naukowców, to skomplikowane prośby aplikacji o uprawnienia, w tym dostęp do aparatu i danych biometrycznych, alerty systemowe, zapytania o pakiety i możliwość wyłączenia blokady klawiatury.
Te uprawnienia są znacznie większe niż te wymagane przez oryginalną aplikację Aegis i nie zostały ujawnione w profilu Google Play aplikacji. Narażają również użytkowników na ryzyko kradzieży danych finansowych i innych ataków następczych, nawet jeśli downloader nie korzystał z aplikacji.
Podczas gdy fałszywa aplikacja 2FA została usunięta ze Sklepu Play, Pradeo ostrzega użytkowników, którzy zainstalowali aplikację, aby natychmiast ją ręcznie usunęli.