Исследователи кибербезопасности помогли удалить из магазина Google Play поддельное приложение двухфакторной аутентификации (2FA), которое скрывало известную вредоносную программу для кражи банковских учетных данных.
Приложение под названием 2FA Authenticator было обнаружено специалистами по безопасности в охранной фирме Pradeo. Он замаскировался под законное приложение 2FA и использовал прикрытие для продвижения относительно нового, но чрезвычайно опасного вредоносного ПО Vultur, предназначенного для кражи банковских учетных данных.
В своем отчете исследователи отмечают, что полнофункциональное приложение для аутентификации 2FA было удалено из Google Play 27 января, после того как оно оставалось доступным в магазине более двух недель, где его скачали более 10 000 раз.
По словам исследователей, злоумышленники разработали приложение, используя подлинное приложение аутентификации Aegis с открытым исходным кодом, прежде чем внедрить в него вредоносные функции.
Pradeo утверждает, что сложный обман поддельного приложения позволил ему успешно замаскироваться под инструмент аутентификации и пройти проверку случайных пользователей. Однако исследователей напугали сложные запросы приложения на разрешения, включая доступ к камере и биометрическим данным, системные оповещения, запросы пакетов и возможность отключить блокировку клавиатуры.
Эти разрешения намного шире, чем те, которые требуются исходному приложению Aegis, и они не были раскрыты в профиле приложения Google Play. Они также подвергают пользователей риску кражи финансовых данных и других последующих атак, даже если загрузчик не использовал приложение.
Хотя поддельное приложение 2FA было удалено из Play Store, Pradeo предупреждает пользователей, установивших приложение, немедленно удалить его вручную.
