MFA Android 應用程序在使用惡意軟件感染 10K 設備後被關閉

一個包含 Android 銀行木馬的多因素身份驗證應用程序最近已從 Google Play Android 商店下架。然而，據安全研究人員稱，該應用程序在被刪除之前已被下載約 1 萬次。

該應用程序做了它在錫上所說的 - 它確實包含MFA 功能，就像它的簡單名稱一樣 - “2FA Authenticator”。但是，它還包含 Vultur 銀行木馬——一種可以從受害者手機上竊取銀行登錄憑據的 Android 竊取程序。

隱藏在功能性 MFA 應用程序中的 Vultur 惡意軟件

該應用程序的問題由安全公司 Pradeo 的一個研究團隊解決。根據他們的報告，通過該應用程序分發 Vultur 的黑客努力創建了一個有效的、外觀合法的 MFA 應用程序，這樣他們就有了一個令人信服的工具來分發信息竊取木馬。

根據 Pradeo 的說法，該應用程序最初能夠在 Google Play 商店上發布並存活兩週的原因是使用了屬於 Aegis Authenticator 項目的開源身份驗證代碼。該應用程序內部確實有一個有效的 MFA 模塊這一事實有助於很好地掩飾它並幫助它在一段時間內不被注意到。

Vultur 之所以特別，是因為它是第一個擺脫了類似竊取程序中使用的常用 HTML 覆蓋層的 RAT，它只記錄設備屏幕上發生的事情。 Vultur 惡意軟件於 2021 年初首次被發現。

Vultur-Laden 應用程序要求額外的特權

除了包含銀行木馬外，現已刪除的惡意 MFA 應用程序還要求獲得遠遠超過商店頁面上披露的權限。一旦授予，這些權限將允許惡意軟件背後的不良行為者跟踪受害者的 GPS 位置、下載其他應用程序，甚至控制整個設備。

建議下載該惡意應用程序的所有 1 萬用戶盡快將其刪除，以最大程度地降低數據和憑據被盜的風險。