Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 28. januar 2022 | Emne: Sikkerhed
En trojaniseret 2FA-godkendelsesapp er blevet fjernet fra Google Play Butik.
Appen, 2FA Authenticator, blev opdaget af Pradeos sikkerhedsteam.
Ifølge en cachelagret version af appens side på Google Play sagde udvikleren, at softwaren gav en “sikker godkendelse til dine onlinetjenester, mens den også inkluderer nogle funktioner, der mangler i eksisterende godkendelsesapps, såsom korrekt kryptering og sikkerhedskopier.”
Derudover hævdede appen at understøtte HOTP og TOTP og blev markedsført som en måde at importere andre autentificeringsprotokoller – inklusive Authy, Google Authenticator, Microsoft Authenticator og Steam – og hoste dem ét sted.
< p>
Pradeo
I løbet af sin tid på Google Play blev appen downloadet og installeret over 10.000 gange.
Appen handlede dog mindre om at beskytte dine data og mere om at stjæle dem. Ifølge Pradeo ville appen efter installationen fungere som en dropper for malware designet til at stjæle økonomiske oplysninger.
“Den er udviklet til at se legitim ud og levere en reel service,” siger forskerne. “For at gøre det brugte dens udviklere open source-koden til den officielle Aegis-godkendelsesapplikation, som de injicerede ondsindet kode til. Som et resultat er applikationen med succes forklædt som et autentificeringsværktøj, der sikrer, at den holder en lav profil.”
I den første fase af angrebet anmoder 2FA Authenticator om en række tilladelser fra håndsættets ejer, herunder kamera og biometrisk adgang, muligheden for at manipulere med systemadvarsler, pakkeforespørgsler og muligheden for at deaktivere tastelås.
Tilladelserne tillader malwaren at udføre handlinger, herunder at indsamle lokaliserede data til målrettede angreb; deaktivering af nøglelås og adgangskodesikkerhed, download af eksterne apps og oprettelse af overlejringsvinduer over andre mobilapplikationsvinduer.
Når disse tilladelser er givet, installerer dropperen Vultur.
Ifølge Threat Fabric er Vulture en Remote Access Trojan (RAT), der er en relativt ny aktør i malware-landskabet. Vultur bruger skærmoptagelse og keylogging til at registrere bankkonto- og finansiel serviceoplysninger i stedet for traditionelle overlejringsfunktioner – en langsommere metode, men potentielt en, der er mindre tilbøjelig til at blive opdaget.
Vultur har en tendens til at målrette mod europæiske bankinstitutioner såvel som en række cryptocurrency wallet-platforme. Dropperen, der bruges til at udføre RAT, er en ramme kaldet Brunhilda, som tidligere var knyttet til Android-malwaredistribution gennem falske hjælpeprogrammer og 2FA-apps på Google Play.
I en opdatering sagde Pradeo-teamet, at den ondsindede app blev fjernet efter at have været tilgængelig i Google Play Butik i 15 dage. Hvis du forsøger at få adgang til 2FA Authenticator-siden, bliver du mødt med en fejlvisning.
Brugere af appen rådes til at slette softwaren fra deres håndsæt.
ZDNet har kontaktet Google, og vi vil opdatere, når vi hører tilbage.
Tidligere og relateret dækning
Ny banktrojaner SharkBot slår bølger i hele Europa, USA
Over 300.000 Android-brugere har downloadet disse banktrojanske malware-apps, siger sikkerhedsforskere
Denne grusomme Android-malware sletter telefoner efter at have stjålet penge
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre