Aplikacija MFA za Android je ukinjena, potem ko je 10.000 naprav okužila z zlonamerno programsko opremo
Večfaktorna aplikacija za preverjanje pristnosti, ki vsebuje bančnega trojanca za Android, je bila nedavno odstranjena iz trgovine Google Play Android. Po mnenju varnostnih raziskovalcev je bila aplikacija pred odstranitvijo prenesena približno 10 tisoč krat.
Aplikacija je naredila to, kar je pisalo na pločevinki - vsebovala je funkcionalnost MFA , kot bi ustrezalo njenemu preprostemu imenu - "2FA Authenticator". Vseboval pa je tudi bančnega trojanca Vultur - krajo za Android, ki lahko iz telefonov žrtev izvleče poverilnice za bančno prijavo.
Zlonamerna programska oprema Vultur je skrita v funkcionalni aplikaciji MFA
Težavo z aplikacijo je pokrivala raziskovalna skupina varnostnega podjetja Pradeo. Po njihovem poročilu so si hekerji, ki so distribuirali Vultur prek aplikacije, prizadevali ustvariti delujočo, legitimno videti aplikacijo MFA, samo zato, da bi imeli prepričljivo sredstvo za distribucijo trojanca za krajo informacij.
Po mnenju Pradea je bil razlog, da je aplikacija sploh uspela priti v trgovino Google Play in preživeti dva tedna, uporaba odprtokodne kode za preverjanje pristnosti, ki pripada projektu Aegis Authenticator. Dejstvo, da je imela aplikacija v notranjosti delujoč modul MFA, jo je dobro prikrilo in ji pomagalo, da nekaj časa ostane neopažena.
Vultur je bil poseben, ker je bil prvi RAT, ki se je oddaljil od običajnega prekrivanja HTML, ki se uporablja v podobnih krajih, in samo posnel, kaj se dogaja na zaslonu naprave. Zlonamerna programska oprema Vultur je bila prvič opažena v začetku leta 2021.
Aplikacija Vultur-Laden zahteva dodatne privilegije
Poleg tega, da vsebuje bančnega trojanca, je zdaj odstranjena zlonamerna aplikacija MFA zahtevala tudi privilegije, ki so daleč presegale tisto, kar je bilo razkrito na strani trgovine. Ko bi bila ta dovoljenja odobrena, bi slabim akterjem, ki stojijo za zlonamerno programsko opremo, omogočila, da sledijo žrtvini lokaciji GPS, prenesejo druge aplikacije in celo prevzamejo nadzor nad celotno napravo.
Vsem 10 tisoč uporabnikom, ki so prenesli zlonamerno aplikacijo, svetujemo, naj se je čim prej znebijo, da bi zmanjšali tveganje kraje podatkov in poverilnic.