El conocido Troyano Bancario montado en la app 2FA con 10.000 descargas de Google Play

El falso procesador de autenticación de dos factores, que se ha descargado unas 10.000 veces desde Google Play, ha instalado implícitamente el conocido troyano de fraude bancario, que busca en los teléfonos infectados datos financieros y otra información personal, según la firma de seguridad Bradyo.

Autorizador 2FA En vivo en Google Play Hace dos semanas, apareció como una alternativa a las aplicaciones 2FA regulares Google, Twilio, y otras empresas de confianza. De hecho, los investigadores de la empresa de defensa Bradyo dijo el jueves, La aplicación roba datos personales de los dispositivos de los usuarios y los usa para determinar si descargar e instalar Bank Trojan, que se sabe que infectó miles de teléfonos que ya estaban infectados.

Las águilas están dando vueltas

descubierto el año pasado Por la empresa de seguridad ThreatFabric, Vultur es un componente avanzado del malware de Android. Una de sus muchas innovaciones es que al usar la aplicación para compartir pantalla VNC, los atacantes pueden recopilar datos confidenciales en tiempo real desde las credenciales de inicio de sesión y las aplicaciones bancarias y financieras, reflejando las pantallas de los dispositivos infectados.

Para hacer realidad la acreditación 2FA, sus desarrolladores comenzaron este Este es el modelo adecuado Aplicación de autenticación Aegis de código abierto. El análisis del malware muestra que en realidad fue diseñado para proporcionar un servicio de autenticación anunciado.

Sin embargo, detrás de escena, el estado de 2FA Authenticator recopila una lista de aplicaciones instaladas en el dispositivo junto con la ubicación geográfica del dispositivo. También desactiva la pantalla de bloqueo de Android, descarga aplicaciones de terceros con el uso de «actualizaciones» y confunde a los usuarios al anular otras interfaces de aplicaciones móviles.

Si los teléfonos infectados están en los lugares correctos y las aplicaciones correctas están instaladas, 2FA Authenticator instalará Vultur secundario, que está programado para grabar las pantallas de los dispositivos Android cuando se estén ejecutando las últimas 103 aplicaciones bancarias, financieras o de criptomonedas. Parte delantera.

Pradeo dijo que la aprobación de 2FA se puso en marcha el 12 de enero, y el 26 de enero, los investigadores de la compañía informaron a Google que el procesador era malicioso y que Google lo eliminó unas 12 horas después. Estuvo disponible en Play en dos semanas y el procesador fue instalado por unos 10.000 usuarios. Se desconoce en este momento qué hará después de dejar el cargo.

Mirando hacia atrás, había señales de alerta de que los usuarios experimentados de Android podían detectar que el reconocimiento 2FA era malicioso. Importante entre ellos es la extraordinaria cantidad y amplitud de permisos del sistema requeridos. Incluyen:

• android.permission.QUERY_ALL_PACKAGES
• android.permiso.SYSTEM_ALERT_WINDOW
• android.permiso.REQUEST_INSTALL_PACKAGES
• android.permiso.INTERNET
• android.permission.FOREGROUND_SERVICE
• android.permiso.RECEIVE_BOOT_COMPLETED
• android.permiso.DISABLE_KEYGUARD
• android.permiso.WAKE_LOCK

El código de utilidad de código abierto oficial de Aegis no requiere ninguno de estos permisos. Las descargas de aplicaciones que se muestran como actualizaciones pueden ser otra indicación de que algo anda mal con la autenticación 2FA.

No hay respuesta inmediata a un correo electrónico de comentario de una dirección de desarrollador que figura en la lista de Google Play. La misma aplicación de autorización 2FA maliciosa sigue estando disponible en mercados de terceros Aquí, Aquí, Y Aquí. Los representantes de Google no estuvieron disponibles de inmediato para hacer comentarios.