Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi Publicerad i Zero Day den 28 januari 2022 | Ämne: Säkerhet
En trojaniserad 2FA-autentiseringsapp har tagits bort från Google Play Butik.
Appen, 2FA Authenticator, upptäcktes av Pradeos säkerhetsteam.
Enligt en cachad version av appens sida på Google Play sa utvecklaren att programvaran tillhandahåller en “säker autentisering för dina onlinetjänster, samtidigt som vissa funktioner som saknas i befintliga autentiseringsappar, som korrekt kryptering och säkerhetskopior.”
Dessutom hävdade appen stödja HOTP och TOTP och marknadsfördes som ett sätt att importera andra autentiseringsprotokoll – inklusive Authy, Google Authenticator, Microsoft Authenticator och Steam – och vara värd för dem på ett ställe.
< p>
Pradeo
Under sin tid på Google Play laddades appen ner och installerades över 10 000 gånger.
Appen handlade dock mindre om att skydda din data och mer om att stjäla den. Enligt Pradeo skulle appen efter installationen fungera som en droppe för skadlig programvara som är utformad för att stjäla finansiell information.
“Den har utvecklats för att se legitim ut och ge en riktig tjänst”, säger forskarna. “För att göra det använde dess utvecklare öppen källkod för den officiella Aegis-autentiseringsapplikationen som de injicerade skadlig kod till. Som ett resultat är applikationen framgångsrikt förklädd till ett autentiseringsverktyg som säkerställer att den håller en låg profil.”
I det första steget av attacken begär 2FA Authenticator en rad behörigheter från handenhetsägaren, inklusive kamera och biometrisk åtkomst, möjligheten att manipulera systemvarningar, paketförfrågan och möjligheten att inaktivera knapplås.
Behörigheterna tillåter skadlig programvara att utföra åtgärder inklusive att samla in lokaliserad data för riktade attacker; inaktivera nyckellås och lösenordssäkerhet, ladda ner externa appar och skapa överläggsfönster över andra mobilprogramfönster.
När dessa tillstånd har beviljats installerar dropparen Vultur.
Enligt Threat Fabric är Vulture en Remote Access Trojan (RAT) som är en relativt ny deltagare i skadlig programvara. Vultur använder skärminspelning och tangentloggning för att fånga inloggningsuppgifter för bankkonton och finansiella tjänster snarare än traditionella överlagringsfunktioner – en långsammare metod, men potentiellt en som är mindre sannolikt att upptäckas.
Vultur tenderar att rikta in sig på europeiska bankinstitutioner såväl som en rad plattformar för kryptovaluta-plånbok. Droppern som används för att köra RAT är ett ramverk som heter Brunhilda, tidigare kopplat till distribution av skadlig programvara för Android genom falska verktyg och 2FA-appar på Google Play.
I en uppdatering sa Pradeo-teamet att den skadliga appen togs bort efter att ha varit tillgänglig på Google Play Butik i 15 dagar. Om du försöker komma åt sidan för 2FA Authenticator möts du av ett felmeddelande.
Användare av appen rekommenderas att ta bort programvaran från sina telefoner.
ZDNet har kontaktat Google och vi kommer att uppdatera när vi hör tillbaka.
Tidigare och relaterad bevakning
Ny banktrojan SharkBot gör vågor över Europa, USA
Över 300 000 Android-användare har laddat ner dessa banktrojanska skadliga appar, säger säkerhetsforskare
Denna grymma Android-skadlig programvara torkar telefoner efter att ha stulit pengar
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter