Лицензии на несколько устройств (оптовые скидки)
Computer Security Android-приложение MFA отключено после заражения 10 000...

Android-приложение MFA отключено после заражения 10 000 устройств вредоносным ПО

К Mura году в Computer Security году
Перевести на:
Русский

Приложение многофакторной аутентификации, содержащее банковский троян для Android, недавно было удалено из магазина Google Play для Android. Однако, по данным исследователей безопасности, до удаления приложение было загружено около 10 тысяч раз.

Приложение сделало то, что было сказано на жестяной банке — оно действительно содержало функциональность MFA , что соответствовало бы его простому названию — «2FA Authenticator». Однако он также содержал банковский троянец Vultur — похититель Android, который может получить учетные данные для входа в систему с телефонов жертв.

Вредоносное ПО Vultur скрыто в функциональном приложении MFA

Проблема с приложением была рассмотрена исследовательской группой охранной компании Pradeo. Согласно их отчету, хакеры, распространяющие Vultur через приложение, приложили усилия, чтобы создать работающее, законно выглядящее приложение MFA, просто чтобы у них был убедительный инструмент для распространения трояна для кражи информации.

Согласно Pradeo, причиной того, что приложению вообще удалось попасть в магазин Google Play и продержаться две недели, стало использование кода аутентификации с открытым исходным кодом, принадлежащего проекту Aegis Authenticator. Тот факт, что в приложении был работающий модуль MFA, помог хорошо его замаскировать и некоторое время оставаться незамеченным.

Vultur был особенным, потому что это была первая RAT, которая отошла от обычного HTML-оверлея, используемого в подобных стилерах, и просто записывала происходящее на экране устройства. Вредоносное ПО Vultur было впервые обнаружено в начале 2021 года.

Приложение Vultur-Laden запрашивает дополнительные привилегии

Помимо содержания банковского троянца, теперь удаленное вредоносное приложение MFA также запрашивало привилегии, которые намного превышали те, которые были раскрыты на странице магазина. После предоставления эти разрешения позволят злоумышленникам, стоящим за вредоносной программой, отслеживать местоположение жертвы по GPS, загружать другие приложения и даже контролировать все устройство.

Всем 10 тысячам пользователей, скачавших вредоносное приложение, рекомендуется как можно скорее избавиться от него, чтобы свести к минимуму риски кражи данных и учетных данных.

Загрузка...