A kiberbiztonsági kutatók segítettek eltávolítani egy hamis kétfaktoros hitelesítési (2FA) alkalmazást a Google Play Áruházból, amely egy jól ismert banki hitelesítő adatokat ellopó rosszindulatú programot rejtett el.
A 2FA Authenticator nevű alkalmazást a Pradeo biztonsági cég biztonsági nyomozói fedezték fel. Legális 2FA-alkalmazásnak álcázta magát, és a fedelet használta a viszonylag új, de rendkívül veszélyes Vultur malware lenyomására, amelyet banki hitelesítő adatok ellopására terveztek.
Jelentésükben a kutatók megjegyzik, hogy a teljesen működőképes 2FA hitelesítő alkalmazást január 27-én eltávolították a Google Playről, miután több mint két hétig elérhető volt az áruházban, ahol több mint 10 000 letöltést ért el.
A kutatók szerint a fenyegetés szereplői az eredeti, nyílt forráskódú Aegis hitelesítő alkalmazással fejlesztették ki az alkalmazást, mielőtt rosszindulatú funkciókat töltöttek volna bele.
A Pradeo azt állítja, hogy az álalkalmazás bonyolult megtévesztése lehetővé tette, hogy sikeresen hitelesítő eszköznek álcázza magát, és átadja magát az alkalmi felhasználói ellenőrzésnek. Ami azonban meglepte a kutatókat, az az alkalmazás bonyolult engedélykérése volt, beleértve a kamerákhoz és biometrikus adatokhoz való hozzáférést, a rendszerriasztásokat, a csomaglekérdezést és a billentyűzár letiltásának lehetőségét.
Ezek az engedélyek sokkal nagyobbak, mint az eredeti Aegis alkalmazás által megkövetelt engedélyek, és nem tették közzé őket az alkalmazás Google Play-profiljában. Ezenkívül kockázatot jelentenek a felhasználók számára a pénzügyi adatlopások és más utólagos támadások miatt, még akkor is, ha a letöltő nem használta az alkalmazást.
Miközben a hamis 2FA alkalmazást eltávolították a Play Áruházból, a Pradeo figyelmezteti azokat a felhasználókat, akik telepítették az alkalmazást, hogy azonnal távolítsák el manuálisan.