Изследователи в областта на киберсигурността помогнаха за премахването на фалшиво приложение за двуфакторно удостоверяване (2FA) от магазина на Google Play, което криеше добре известен зловреден софтуер за кражба на банкови идентификационни данни.
Приложението, наречено 2FA Authenticator, беше открито от детективи по сигурността в охранителната фирма Pradeo. То се маскира като легитимно 2FA приложение и използва прикритието, за да прокара сравнително новия, но изключително опасен зловреден софтуер Vultur, предназначен да краде банкови идентификационни данни.
В своя доклад изследователите отбелязват, че напълно функционалното приложение за удостоверяване на 2FA е премахнато от Google Play на 27 януари, след като е останало налично в магазина повече от две седмици, където е видяло над 10 000 изтегляния.
Според изследователите, участниците в заплахата са разработили приложението, използвайки оригиналното приложение за удостоверяване Aegis с отворен код, преди да вмъкнат злонамерена функционалност в него.
Pradeo твърди, че сложната измама на фалшивото приложение му е позволила успешно да се маскира като инструмент за удостоверяване и да премине проверка от случаен потребител. Това, което изплаши изследователите обаче, бяха сложните искания на приложението за разрешения, включително камера и биометричен достъп, системни предупреждения, заявки за пакети и възможност за деактивиране на заключването на клавишите.
Тези разрешения са много по-големи от тези, изисквани от оригиналното приложение Aegis, и не са разкрити в профила на приложението в Google Play. Те също така излагат потребителите на риск от кражба на финансови данни и други последващи атаки, дори ако изтеглителят не е използвал приложението.
Докато фалшивото 2FA приложение е премахнато от Play Store, Pradeo предупреждава потребителите, които са инсталирали приложението, да го премахнат ръчно незабавно.
