Aplikacja MFA na Androida została wycofana po zainfekowaniu urządzeń 10 000 złośliwym oprogramowaniem

Aplikacja do uwierzytelniania wieloskładnikowego zawierająca trojana bankowego dla systemu Android została niedawno usunięta ze sklepu Google Play na Androida. Jednak według badaczy bezpieczeństwa aplikacja została pobrana około 10 tysięcy razy przed usunięciem.

Aplikacja zrobiła to, co napisano na puszce — zawierała funkcję MFA, która pasowałaby do jej prostej nazwy — „2FA Authenticator”. Zawierał jednak również trojana bankowego Vultur — złodzieja Androida, który może przechwytywać dane uwierzytelniające logowanie do banków z telefonów ofiar.

Vultur Malware ukryte w funkcjonalnej aplikacji MFA

Problem z aplikacją został uwzględniony przez zespół badawczy z firmą zajmującą się bezpieczeństwem Pradeo. Według ich raportu, hakerzy rozpowszechniający Vultur za pośrednictwem aplikacji podjęli wysiłek stworzenia działającej, legalnie wyglądającej aplikacji MFA, aby mieć przekonujący pojazd do dystrybucji trojana wykradającego informacje.

Według Pradeo, powodem, dla którego aplikacji udało się nawet znaleźć w sklepie Google Play i przetrwać przez dwa tygodnie, było użycie kodu uwierzytelniającego o otwartym kodzie źródłowym należącego do projektu Aegis Authenticator. Fakt, że aplikacja miała w środku działający moduł MFA, pomógł go dobrze ukryć i przez chwilę pozostać niezauważonym.

Vultur był wyjątkowy, ponieważ był pierwszym RAT-em, który odszedł od zwykłej nakładki HTML używanej w podobnych złodziejach i po prostu nagrywał, co dzieje się na ekranie urządzenia. Szkodliwe oprogramowanie Vultur zostało po raz pierwszy zauważone na początku 2021 roku.

Aplikacja Vultur-Laden prosi o dodatkowe przywileje

Oprócz tego, że zawierała trojana bankowego, teraz usunięta złośliwa aplikacja MFA prosiła również o uprawnienia, które znacznie przewyższały to, co zostało ujawnione na stronie sklepu. Po przyznaniu te uprawnienia pozwoliłyby złoczyńcom stojącym za złośliwym oprogramowaniem śledzić lokalizację GPS ofiary, pobierać inne aplikacje, a nawet przejąć kontrolę nad całym urządzeniem.

Wszystkim 10 tysiącom użytkowników, którzy pobrali szkodliwą aplikację, zaleca się jak najszybsze pozbycie się jej, aby zminimalizować ryzyko kradzieży danych i poświadczeń.