Μια Trojanized 2FA εφαρμογή ελέγχου ταυτότητας έχει αφαιρεθεί από το Google Play Store. Η κακόβουλη εφαρμογή, 2FA Authenticator, ανακαλύφθηκε από την ομάδα ασφαλείας του Pradeo.
Δείτε επίσης: Το Konni remote access trojan λαμβάνει «σημαντικές» αναβαθμίσεις
Σύμφωνα με μια προσωρινά αποθηκευμένη έκδοση της σελίδας της εφαρμογής στο Google Play, ο προγραμματιστής είπε ότι το λογισμικό παρείχε έναν “ασφαλή έλεγχο ταυτότητας για τις διαδικτυακές υπηρεσίες σας, ενώ περιλαμβάνει και ορισμένες λειτουργίες που λείπουν στις υπάρχουσες εφαρμογές ελέγχου ταυτότητας, όπως η σωστή κρυπτογράφηση και τα αντίγραφα ασφαλείας”.
Επιπλέον, η εφαρμογή ισχυρίστηκε ότι υποστηρίζει HOTP και TOTP και κυκλοφόρησε ως τρόπος εισαγωγής άλλων πρωτοκόλλων ελέγχου ταυτότητας – συμπεριλαμβανομένων των Authy, Google Authenticator, Microsoft Authenticator και Steam – και τη φιλοξενία τους σε ένα μέρος.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Κατά τη διάρκεια της παρουσίας της στο Google Play, η εφαρμογή κατέβηκε και εγκαταστάθηκε περισσότερες από 10.000 φορές.
Δείτε επίσης: Chaes banking trojan: Επηρεάζει το Chrome με κακόβουλες επεκτάσεις
Ωστόσο, η εφαρμογή αφορούσε λιγότερο την προστασία των δεδομένων σας και περισσότερο την κλοπή τους. Σύμφωνα με το Pradeo, κατά την εγκατάσταση, η εφαρμογή θα λειτουργούσε ως σταγονόμετρο για κακόβουλο λογισμικό που έχει σχεδιαστεί για την κλοπή οικονομικών πληροφοριών.
Στο πρώτο στάδιο της επίθεσης, το 2FA Authenticator ζητά μια σειρά αδειών από τον κάτοχο της συσκευής, συμπεριλαμβανομένης της κάμερας και της βιομετρικής πρόσβασης, τη δυνατότητα παραβίασης των ειδοποιήσεων συστήματος, την αναζήτηση πακέτου και τη δυνατότητα απενεργοποίησης του κλειδώματος.
Τα δικαιώματα επιτρέπουν στο malware να εκτελεί ενέργειες, συμπεριλαμβανομένης της συλλογής τοπικών δεδομένων για στοχευμένες επιθέσεις, απενεργοποίηση της ασφάλειας κλειδώματος και κωδικού πρόσβασης, λήψη εξωτερικών εφαρμογών και δημιουργία παραθύρων overlay σε άλλα παράθυρα εφαρμογών για κινητά.
Δείτε επίσης: Banking malware: Τα πιο επικίνδυνα trojans που έχουν υπάρξει!
Μόλις παραχωρηθούν αυτά τα δικαιώματα, το dropper εγκαθιστά το Vultur.
Σύμφωνα με το Threat Fabric, το Vulture είναι ένα Trojan Remote Access (RAT) που είναι σχετικά νέο στο τοπίο του malware. Το Vultur χρησιμοποιεί screen recording και keylogging για να καταγράψει τα bank account αντί για παραδοσιακές λειτουργίες overlay – μια πιο αργή μέθοδος, αλλά δυνητικά μια μέθοδος που είναι λιγότερο πιθανό να εντοπιστεί.
Το Vultur τείνει να στοχεύει ευρωπαϊκά τραπεζικά ιδρύματα καθώς και μια σειρά από πλατφόρμες cryptocurrency wallet. Το dropper που χρησιμοποιείται για την εκτέλεση του RAT είναι ένα πλαίσιο που ονομάζεται Brunhilda, που προηγουμένως είχε συνδεθεί με τη διανομή Android malware μέσω ψεύτικο βοηθητικό πρόγραμμα και 2FA εφαρμογών στο Google Play.
Σε μια ενημέρωση, η ομάδα του Pradeo είπε ότι η κακόβουλη εφαρμογή καταργήθηκε αφού ήταν διαθέσιμη στο Google Play Store για 15 ημέρες. Αυτή την στιγμή εάν προσπαθήσετε να αποκτήσετε πρόσβαση στη σελίδα του 2FA Authenticator, θα εμφανιστεί ένα σφάλμα.
Πηγή πληροφοριών: zdnet.com