تم سحب تطبيق MFA على Android بعد إصابة 10 آلاف جهاز ببرامج ضارة

تم مؤخرًا إزالة تطبيق مصادقة متعدد العوامل يحتوي على حصان طروادة المصرفي لنظام Android من متجر Google Play Android. ومع ذلك ، وفقًا للباحثين الأمنيين ، تم تنزيل التطبيق حوالي 10 آلاف مرة قبل الإزالة.

قام التطبيق بما قاله على العلبة - لقد احتوى بالفعل على وظيفة MFA ، كما يتناسب مع اسمه البسيط - "2FA Authenticator". ومع ذلك ، فقد احتوت أيضًا على Vultur Banking Trojan - سارق Android يمكنه حجز بيانات اعتماد تسجيل الدخول المصرفي من هواتف الضحايا.

Vultur Malware المخفية في تطبيق MFA الوظيفي

تمت تغطية مشكلة التطبيق من قبل فريق بحث مع شركة الأمان Pradeo. وفقًا لتقريرهم ، قام المتسللون الذين وزعوا Vultur من خلال التطبيق بجهود إنشاء تطبيق MFA عملي وذي مظهر شرعي ، فقط حتى يكون لديهم وسيلة مقنعة لتوزيع أداة المعلومات Trojan.

وفقًا لـ Pradeo ، كان السبب وراء تمكن التطبيق من جعله على متجر Google Play في المقام الأول والبقاء على قيد الحياة لمدة أسبوعين هو استخدام رمز مصادقة مفتوح المصدر ينتمي إلى مشروع Aegis Authenticator. ساعدت حقيقة أن التطبيق يحتوي على وحدة MFA عاملة بداخله على إخفاءه جيدًا ومساعدته على عدم ملاحظته لفترة من الوقت.

كان Vultur مميزًا لأنه كان أول أداة تحكم عن بعد (RAT) تبتعد عن تراكب HTML المعتاد المستخدم في المتسللين المتشابهين ويسجل فقط ما يحدث على شاشة الجهاز. تم اكتشاف البرنامج الضار Vultur لأول مرة في أوائل عام 2021.

يطلب تطبيق Vultur-Laden امتيازات إضافية

بالإضافة إلى احتوائه على برنامج Trojan المصرفي ، طلب تطبيق MFA الخبيث الذي تمت إزالته الآن امتيازات تتجاوز بكثير ما تم الكشف عنه في صفحة المتجر. بمجرد منح هذه الأذونات ، ستسمح للأطراف السيئة وراء البرامج الضارة بتتبع موقع GPS للضحية وتنزيل تطبيقات أخرى وحتى التحكم في الجهاز بالكامل.

يُنصح كل 10 آلاف مستخدم قاموا بتنزيل التطبيق الضار بالتخلص منه في أسرع وقت ممكن ، لتقليل مخاطر سرقة البيانات وبيانات الاعتماد.