MFA Android-app trukket ned etter å ha infisert 10K-enheter med skadelig programvare
En multifaktorautentiseringsapp som inneholder en Android-banktrojaner har nylig blitt fjernet fra Google Play Android-butikken. Imidlertid har appen ifølge sikkerhetsforskere blitt lastet ned rundt 10 tusen ganger før fjerningen.
Applikasjonen gjorde det den sa på boksen - den inneholdt MFA-funksjonalitet , som passer til det enkle navnet - "2FA Authenticator". Den inneholdt imidlertid også Vultur-banktrojaneren – en Android-tyver som kan fange bankpåloggingsinformasjon fra ofrenes telefoner.
Vultur Malware skjult i funksjonell MFA-app
Problemet med appen ble dekket av et forskningsteam med sikkerhetsselskapet Pradeo. I følge rapporten deres gikk hackerne som distribuerte Vultur gjennom appen gjennom arbeidet med å lage en fungerende, legitimt utseende MFA-app, bare slik at de har et overbevisende redskap for å distribuere infotyveren Trojan.
Ifølge Pradeo var grunnen til at appen til og med klarte å gjøre det på Google Play Store i utgangspunktet og overleve i to uker, bruken av åpen kildekode autentiseringskode som tilhører Aegis Authenticator-prosjektet. Det faktum at appen hadde en fungerende MFA-modul inne i den bidro til å skjule den godt og hjelpe den til å forbli ubemerket en stund.
Vultur var spesiell fordi den var den første RAT som beveget seg bort fra det vanlige HTML-overlegget som ble brukt i lignende stjelere og bare registrerte hva som skjer på enhetens skjerm. Skadevaren Vultur ble først oppdaget tidlig i 2021.
Vultur-Laden-appen ber om ytterligere privilegier
I tillegg til å inneholde banktrojaneren, ba den nå fjernede ondsinnede MFA-appen også om privilegier som langt oversteg det som ble avslørt på butikksiden. Når de er gitt, vil disse tillatelsene tillate de dårlige aktørene bak skadevaren å spore offerets GPS-posisjon, laste ned andre apper og til og med ta kontroll over hele enheten.
Alle 10 tusen brukere som lastet ned den ondsinnede appen anbefales å bli kvitt den så snart som mulig, for å minimere risikoen for data og legitimasjonstyveri.