Raziskovalci kibernetske varnosti so pomagali odstraniti lažno aplikacijo za dvofaktorsko preverjanje pristnosti (2FA) iz trgovine Google Play, ki je skrivala dobro znano zlonamerno programsko opremo za krajo bančnih poverilnic.
Aplikacijo, imenovano 2FA Authenticator, so odkrili varnostni preiskovalci v varnostnem podjetju Pradeo. Preoblekel se je v legitimno aplikacijo 2FA in uporabil naslovnico za promocijo relativno nove, a izjemno nevarne zlonamerne programske opreme Vultur, namenjene kraji bančnih poverilnic.
V svojem poročilu raziskovalci ugotavljajo, da je bila popolnoma delujoča aplikacija za preverjanje pristnosti 2FA odstranjena iz Googla Play 27. januarja, potem ko je bila več kot dva tedna na voljo v trgovini, kjer je bilo prenesenih več kot 10.000.
Po mnenju raziskovalcev so akterji groženj razvili aplikacijo z uporabo pristne, odprtokodne aplikacije za preverjanje pristnosti Aegis, preden so vanjo vnesli zlonamerno funkcionalnost.
Pradeo trdi, da je dovršeno zavajanje lažne aplikacije omogočilo, da se je uspešno prikrila kot orodje za preverjanje pristnosti in prestala nadzor naključnih uporabnikov. Kar pa je prestrašilo raziskovalce, so bile dodelane zahteve aplikacije za dovoljenja, vključno s kamero in biometričnim dostopom, sistemskimi opozorili, poizvedovanjem paketov in možnostjo onemogočanja zaklepanja tipk.
Ta dovoljenja so veliko večja od tistih, ki jih zahteva prvotna aplikacija Aegis, in niso bila razkrita v profilu aplikacije Google Play. Uporabnike prav tako ogrožajo kraje finančnih podatkov in drugi nadaljnji napadi, tudi če prenosnik ni uporabil aplikacije.
Medtem ko je bila lažna aplikacija 2FA odstranjena iz Trgovine Play, Pradeo opozarja uporabnike, ki so namestili aplikacijo, naj jo nemudoma ročno odstranijo.