Licenties voor meerdere apparaten (volumekortingen)
Computer Security MFA Android-app offline gehaald na infectie van...

MFA Android-app offline gehaald na infectie van 10K-apparaten met malware

Tegen Mura in Computer Security
Vertalen naar:
Nederlands

Een multi-factor authenticatie-app met een Android banking-trojan is onlangs verwijderd uit de Google Play Android Store. Volgens beveiligingsonderzoekers is de app voor de verwijdering echter zo'n 10.000 keer gedownload.

De applicatie deed wat het zei - het bevatte MFA-functionaliteit, zoals zou passen bij de eenvoudige naam - "2FA Authenticator". Het bevatte echter ook de Vultur banking-trojan - een Android-stealer die inloggegevens voor bankieren van de telefoons van slachtoffers kan halen.

Vultur-malware verborgen in functionele MFA-app

Het probleem met de app werd behandeld door een onderzoeksteam met beveiligingsbedrijf Pradeo. Volgens hun rapport hebben de hackers die Vultur via de app verspreidden de moeite genomen om een werkende, legitiem ogende MFA-app te maken, zodat ze een overtuigend middel hebben om de infostealer-trojan te verspreiden.

Volgens Pradeo was de reden waarom de app er zelfs in slaagde om in de Google Play Store te komen en twee weken te overleven, het gebruik van open-source authenticatiecode die behoort tot het Aegis Authenticator-project. Het feit dat de app een werkende MFA-module had, hielp hem goed te verbergen en een tijdje onopgemerkt te blijven.

Vultur was speciaal omdat het de eerste RAT was die afstand nam van de gebruikelijke HTML-overlay die in soortgelijke stealers wordt gebruikt en gewoon registreerde wat er op het scherm van het apparaat gebeurt. De Vultur-malware werd begin 2021 voor het eerst opgemerkt.

Vultur-Laden-app vraagt om extra rechten

Naast de bancaire trojan, vroeg de nu verwijderde kwaadaardige MFA-app ook om privileges die veel verder gingen dan wat op de winkelpagina was bekendgemaakt. Eenmaal verleend, zouden die toestemmingen de kwaadwillenden achter de malware in staat stellen de GPS-locatie van het slachtoffer te volgen, andere apps te downloaden en zelfs de controle over het hele apparaat over te nemen.

Alle 10 duizend gebruikers die de kwaadaardige app hebben gedownload, wordt geadviseerd om deze zo snel mogelijk te verwijderen, om het risico op gegevens- en inloggegevens te minimaliseren.

Bezig met laden...