Приложението MFA за Android е спряно след заразяване на 10 000 устройства със злонамерен софтуер

Многофакторно приложение за удостоверяване, съдържащо банков троянски кон за Android, наскоро беше премахнато от магазина за Android на Google Play. Въпреки това, според изследователи по сигурността, приложението е изтеглено около 10 хиляди пъти преди свалянето.

Приложението направи това, което каза на тенекия - съдържаше MFA функционалност , както би отговаряло на простото му име - "2FA Authenticator". Въпреки това, той съдържаше и банковия троянец Vultur - крадец на Android, който може да вземе идентификационните данни за влизане в банки от телефоните на жертвите.

Vultur Зловреден софтуер, скрит във функционалното приложение за MFA

Проблемът с приложението беше покрит от изследователски екип с охранителна компания Pradeo. Според техния доклад, хакерите, разпространяващи Vultur чрез приложението, са положили усилия да създадат работещо, легитимно изглеждащо приложение за MFA, само за да имат убедително средство за разпространение на троянски конец за кражба на информация.

Според Pradeo причината, поради която приложението дори успя да се появи в Google Play Store и да оцелее две седмици, е използването на код за удостоверяване с отворен код, принадлежащ към проекта Aegis Authenticator. Фактът, че приложението имаше работещ MFA модул вътре, помогна да го прикрие добре и да му помогне да остане незабелязан за известно време.

Vultur беше специален, защото беше първият RAT, който се отдалечи от обичайното HTML наслагване, използвано в подобни крадци, и просто записа какво се случва на екрана на устройството. Зловредният софтуер Vultur беше забелязан за първи път в началото на 2021 г.

Приложението Vultur-Laden иска допълнителни привилегии

Освен че съдържа банковия троянски кон, вече премахнатото злонамерено приложение MFA също поиска привилегии, които далеч надхвърлят това, което е разкрито на страницата на магазина. След като бъдат предоставени, тези разрешения ще позволят на лошите участници зад зловредния софтуер да проследяват GPS местоположението на жертвата, да изтеглят други приложения и дори да поемат контрола над цялото устройство.

Всички 10 хиляди потребители, които са изтеглили злонамереното приложение, се съветват да се отърват от него възможно най-скоро, за да сведат до минимум рисковете от кражба на данни и идентификационни данни.