Els investigadors de ciberseguretat han ajudat a retirar una aplicació falsa d'autenticació de dos factors (2FA) de la botiga de Google Play, que ocultava un conegut programari maliciós per robar credencials bancàries.
L'aplicació, anomenada 2FA Authenticator, va ser descoberta pels detectius de seguretat de l'empresa de seguretat Pradeo. Es va disfressar d'una aplicació 2FA legítima i va utilitzar la coberta per impulsar el programari maliciós Vultur relativament nou però extremadament perillós dissenyat per robar credencials bancàries.
En el seu informe, els investigadors assenyalen que l'aplicació d'autenticació 2FA totalment funcional es va eliminar de Google Play el 27 de gener, després d'haver estat disponible a la botiga durant més de dues setmanes, on va veure més de 10.000 descàrregues.
Segons els investigadors, els actors de l'amenaça van desenvolupar l'aplicació utilitzant l'aplicació d'autenticació Aegis genuïna i de codi obert abans d'introduir-hi funcionalitats malicioses.
Pradeo afirma que l'engany elaborat de l'aplicació falsa li va permetre disfressar-se amb èxit com una eina d'autenticació i passar l'escrutini casual dels usuaris. El que va espantar els investigadors, però, van ser les elaborades sol·licituds de permisos de l'aplicació, inclòs l'accés a la càmera i la biomètrica, les alertes del sistema, la consulta de paquets i la possibilitat de desactivar el bloqueig del teclat..
Aquests permisos són molt superiors als requerits per l'aplicació Aegis original i no es van revelar al perfil de Google Play de l'aplicació. També posen en risc els usuaris de robatori de dades financeres i d' altres atacs de seguiment, fins i tot si el descarregador no va utilitzar l'aplicació.
Tot i que l'aplicació 2FA falsa s'ha eliminat de Play Store, Pradeo adverteix als usuaris que hagin instal·lat l'aplicació que l'eliminin manualment immediatament.
