אפליקציית אנדרואיד MFA נסגרה לאחר הדבקה של 10K מכשירים בתוכנה זדונית

אפליקציית אימות רב-גורמי המכילה סוס טרויאני בנקאי אנדרואיד הוסרה לאחרונה מחנות Google Play Android. עם זאת, לפי חוקרי אבטחה, האפליקציה הורדה כ-10 אלף פעמים לפני ההסרה.

האפליקציה עשתה מה שהיא אמרה על הפח - היא אכן הכילה פונקציונליות MFA , כפי שתתאים לשמה הפשוט - "2FA Authenticator". עם זאת, הוא הכיל גם את ה-Vultur banking Trojan - גנב אנדרואיד שיכול לתפוס אישורי כניסה בנקאי מהטלפונים של הקורבנות.

Vultur Malware מוסתרת באפליקציית MFA פונקציונלית

הנושא באפליקציה כוסה על ידי צוות מחקר עם חברת האבטחה Pradeo. על פי הדיווח שלהם, ההאקרים שמפיצים את Vultur דרך האפליקציה עברו את המאמץ ליצור אפליקציית MFA עובדת ולגיטימית למראה, רק כדי שיהיה להם כלי משכנע להפיץ את גנב המידע הטרויאני.

לפי Pradeo, הסיבה לכך שהאפליקציה בכלל הצליחה להשיג אותה בחנות Google Play מלכתחילה ולשרוד במשך שבועיים הייתה השימוש בקוד אימות בקוד פתוח השייך לפרויקט Aegis Authenticator. העובדה שלאפליקציה אכן היה מודול MFA עובד בתוכו עזרה להסוות אותה היטב ולעזור לה להישאר ללא תשומת לב למשך זמן מה.

Vultur היה מיוחד מכיוון שהוא היה ה-RAT הראשון שהתרחק משכבת ה-HTML הרגילה בשימוש בגנבים דומים ופשוט תיעד את מה שקורה על מסך המכשיר. התוכנה הזדונית Vultur זוהתה לראשונה בתחילת 2021.

אפליקציית Vultur-Laden מבקשת הרשאות נוספות

בנוסף להכיל את הטרויאני הבנקאי, אפליקציית MFA הזדונית שהוסרה כעת ביקשה גם הרשאות שחרגו בהרבה ממה שנחשף בדף החנות. לאחר מתן ההרשאות הללו, יאפשרו לשחקנים הרעים מאחורי התוכנה הזדונית לעקוב אחר מיקום ה-GPS של הקורבן, להוריד אפליקציות אחרות ואפילו להשתלט על המכשיר כולו.

לכל 10,000 המשתמשים שהורידו את האפליקציה הזדונית מומלץ להיפטר ממנה בהקדם האפשרי, כדי למזער את הסיכון לגניבת נתונים ואישורים.