Bezpečnostní firma Pradeo uvedla, že falešná aplikace pro dvoufaktorovou autentizaci, která byla tajně stažena z Google Play asi 10 000krát, nainstalovala známý trojan z bankovního podvodu, který prohledával infikované telefony a vyhledával finanční data a další osobní informace.
Certifikováno 2FA Živé vysílání na Google Play bylo zahájeno Před dvěma týdny představovali alternativu k legitimním aplikacím 2FA od prohlížeč googleA Twilioa další důvěryhodné společnosti. Ve skutečnosti výzkumníci z bezpečnostní společnosti Pradeo Řekl to ve čtvrtekAplikace krade osobní data z uživatelských zařízení a používá je k určení, zda si infikované telefony mají stáhnout a nainstalovat bankovního trojského koně, o kterém je již známo, že v minulosti infikoval tisíce telefonů.
orli létají
Zjistěte minulý rok Od bezpečnostní společnosti ThreatFabric je Vultur pokročilý kousek malwaru pro Android. Jednou z jeho mnoha novinek je použití skutečné implementace aplikace pro sdílení obrazovky VNC pro zrcadlení obrazovek infikovaných zařízení, takže útočníci mohou v reálném čase získat přihlašovací údaje a další citlivá data z bankovních a finančních aplikací.
Aby 2FA Authenticator vypadal skutečně, začali jeho vývojáři s Toto je legitimní vzorek Z autentizační aplikace Aegis s otevřeným zdrojovým kódem. Analýza malwaru ukazuje, že byl ve skutečnosti naprogramován k poskytování ověřovací služby, kterou inzeroval.
V zákulisí však první fáze ověřování 2FA shromáždila seznam aplikací nainstalovaných v zařízení a také geografickou polohu zařízení. Aplikace také deaktivuje zamykací obrazovku systému Android, stáhne aplikace třetích stran jako „aktualizace“ a překryje další rozhraní mobilních aplikací, aby zmátla uživatele.
Pokud jsou postižené telefony na správných místech a jsou na nich nainstalovány příslušné aplikace, druhá fáze 2FA Authenticatoru nainstaluje Vultur, který je konečně naprogramován tak, aby zaznamenával obrazovky zařízení Android, když některá ze 103 bankovních, finančních nebo kryptoměnových aplikací běží.
Bradio uvedl, že aplikace 2FA Authenticator byla spuštěna 12. ledna, výzkumníci společnosti řekli Googlu, že aplikace byla škodlivá 26. ledna a že ji Google odstranil asi o 12 hodin později. Dva týdny byla dostupná na Play a aplikaci si nainstalovalo asi 10 000 uživatelů. Není jasné, zda Google některému z nich oznámil, že bezpečnostní aplikace, o které si mysleli, že dostanou, je ve skutečnosti trojan z bankovního podvodu.
Později se objevily varovné signály, že zkušení uživatelé Androidu mohli zjistit, že 2FA Authenticator je škodlivý. Hlavním z nich bylo množství a šíře požadovaných systémových oprávnění. Byli mezi nimi:
- android.permission.QUERY_ALL_PACKAGES
- android.permission.SYSTEM_ALERT_WINDOW
- android.permission.REQUEST_INSTALL_PACKAGES
- android.permission.INTERNET
- android.permission.FOREGROUND_SERVICE
- android.permission.RECEIVE_BOOT_COMPLETED
- android.permission.DISABLE_KEYGUARD
- android.permission.WAKE_LOCK
Oficiální kód aplikace Aegis s otevřeným zdrojovým kódem žádné z těchto oprávnění nevyžaduje. Stahování aplikací, které se jeví jako aktualizace, může být dalším signálem, že s 2FA Authenticator není něco v pořádku.
E-mail s žádostí o komentář z adresy Google Play uvedené vývojáře neobdržel okamžitou odpověď. Stejná škodlivá aplikace 2FA Authenticator zůstává dostupná na trzích třetích stran tadyA tadyA tady. Zástupci společnosti Google nebyli okamžitě k dispozici pro vyjádření.
„Obhájce Twitteru. Zombie fanatik. Hudební fanoušek. Milovník cestování. Webový expert. Pivní guru. Kávový fanatik.“