L'app Android MFA è stata rimossa dopo aver infettato dispositivi 10.000 con malware
Un'app di autenticazione a più fattori contenente un Trojan bancario Android è stata recentemente rimossa dal Google Play Android Store. Tuttavia, secondo i ricercatori di sicurezza, l'app è stata scaricata circa 10mila volte prima del takedown.
L'applicazione ha fatto quello che diceva sulla scatola: conteneva funzionalità MFA, come si adatterebbe al suo semplice nome: "2FA Authenticator". Tuttavia, conteneva anche il trojan bancario Vultur, un ladro Android in grado di strappare le credenziali di accesso alle banche dai telefoni delle vittime.
Vultur Malware nascosto nell'app MFA funzionale
Il problema con l'app è stato affrontato da un team di ricerca con la società di sicurezza Pradeo. Secondo il loro rapporto, gli hacker che distribuivano Vultur attraverso l'app si sono impegnati a creare un'app MFA funzionante e dall'aspetto legittimo, solo per avere un veicolo convincente per distribuire l'infostealer Trojan.
Secondo Pradeo, il motivo per cui l'app è persino riuscita ad arrivare su Google Play Store in primo luogo e sopravvivere per due settimane è stato l'uso del codice di autenticazione open source appartenente al progetto Aegis Authenticator. Il fatto che l'app avesse un modulo MFA funzionante al suo interno ha aiutato a mascherarlo bene e aiutarlo a rimanere inosservato per un po'.
Vultur è stato speciale perché è stato il primo RAT ad allontanarsi dal solito overlay HTML utilizzato in simili ladri e registrare semplicemente ciò che sta accadendo sullo schermo del dispositivo. Il malware Vultur è stato individuato per la prima volta all'inizio del 2021.
L'app Vultur-Laden richiede privilegi aggiuntivi
Oltre a contenere il Trojan bancario, l'app MFA dannosa ora rimossa richiedeva anche privilegi che superavano di gran lunga quelli divulgati nella pagina dello store. Una volta concesse, tali autorizzazioni consentirebbero ai malintenzionati dietro il malware di tracciare la posizione GPS della vittima, scaricare altre app e persino assumere il controllo dell'intero dispositivo.
Si consiglia a tutti i 10mila utenti che hanno scaricato l'app dannosa di sbarazzarsene il prima possibile, per ridurre al minimo i rischi di furto di dati e credenziali.