MFA Android 应用程序在使用恶意软件感染 10K 设备后被关闭

一个包含 Android 银行木马的多因素身份验证应用程序最近已从 Google Play Android 商店下架。然而，据安全研究人员称，该应用程序在被删除前已被下载约 1 万次。

该应用程序做了它在锡上所说的 - 它确实包含MFA 功能，就像它的简单名称一样 - “2FA Authenticator”。然而，它还包含 Vultur 银行木马——一种可以从受害者手机上窃取银行登录凭据的 Android 窃取程序。

隐藏在功能性 MFA 应用程序中的 Vultur 恶意软件

该应用程序的问题由安全公司 Pradeo 的一个研究团队解决。根据他们的报告，通过该应用程序分发 Vultur 的黑客努力创建了一个有效的、外观合法的 MFA 应用程序，这样他们就有了一个令人信服的工具来分发信息窃取木马。

根据 Pradeo 的说法，该应用程序最初能够在 Google Play 商店上发布并存活两周的原因是使用了属于 Aegis Authenticator 项目的开源身份验证代码。该应用程序内部确实有一个工作的 MFA 模块这一事实有助于很好地掩饰它并帮助它在一段时间内不被注意到。

Vultur 之所以特别，是因为它是第一个摆脱了类似窃取程序中使用的常用 HTML 覆盖层的 RAT，它只记录设备屏幕上发生的事情。 Vultur 恶意软件于 2021 年初首次被发现。

Vultur-Laden 应用程序要求额外的特权

除了包含银行木马外，现已删除的恶意 MFA 应用程序还要求获得远远超过商店页面上披露的权限。一旦授予，这些权限将允许恶意软件背后的不良行为者跟踪受害者的 GPS 位置、下载其他应用程序，甚至控制整个设备。

建议下载该恶意应用程序的所有 1 万用户尽快将其删除，以最大程度地降低数据和凭据被盗的风险。