MFA Android -sovellus purettiin sen jälkeen, kun 10 000 laitetta oli tartutettu haittaohjelmilla

Android-pankkitroijalaisen sisältävä monitekijätodennussovellus on äskettäin poistettu Google Play Android -kaupasta. Tietoturvatutkijoiden mukaan sovellus on kuitenkin ladattu noin 10 tuhatta kertaa ennen poistoa.

Sovellus teki sen, mitä se sanoi tinalla - se sisälsi MFA-toiminnot , kuten sopisi sen yksinkertaiseen nimeen - "2FA Authenticator". Se sisälsi kuitenkin myös Vultur-pankkitroijalaisen - Android-varastajan, joka voi napata pankkien kirjautumistiedot uhrien puhelimista.

Vultur-haittaohjelma piilotettu toiminnalliseen MFA-sovellukseen

Sovelluksen ongelmaa käsitteli turvallisuusyhtiö Pradeon tutkimusryhmä. Raporttinsa mukaan hakkerit, jotka jakavat Vulturia sovelluksen kautta, yrittivät luoda toimivan, laillisen näköisen MFA-sovelluksen, jotta heillä olisi vakuuttava väline infovarastajan troijalaisen levittämiseen.

Pradeon mukaan syy siihen, miksi sovellus edes onnistui pääsemään Google Play Kauppaan ja selviytymään kaksi viikkoa, oli Aegis Authenticator -projektiin kuuluvan avoimen lähdekoodin todennuskoodin käyttö. Se, että sovelluksessa oli toimiva MFA-moduuli, auttoi naamioimaan sen hyvin ja pysymään huomaamattomana jonkin aikaa.

Vultur oli erityinen, koska se oli ensimmäinen RAT, joka siirtyi pois tavanomaisesta HTML-peittokuvasta, jota käytetään vastaavissa varasteissa, ja vain tallensi laitteen näytöllä tapahtuvan. Vultur-haittaohjelma havaittiin ensimmäisen kerran vuoden 2021 alussa.

Vultur-Laden App pyytää lisäoikeuksia

Pankkitroijalaisen lisäksi nyt poistettu haitallinen MFA-sovellus pyysi myös oikeuksia, jotka ylittivät kaupan sivulla kerrotut. Kun luvat on myönnetty, haittaohjelman takana olevat pahat toimijat voivat seurata uhrin GPS-sijaintia, ladata muita sovelluksia ja jopa ottaa koko laitteen hallintaansa.

Kaikkia 10 000 haitallisen sovelluksen ladannutta käyttäjää kehotetaan luopumaan siitä mahdollisimman pian tietojen ja tunnistetietojen varkauksien riskien minimoimiseksi.