Cybersikkerhedsforskere har hjulpet med at fjerne en falsk to-faktor-godkendelsesapp (2FA) fra Google Play Butik, som skjulte en velkendt malware, der stjæler bankoplysninger.
Appen, kaldet 2FA Authenticator, blev opdaget af sikkerhedseksperter hos sikkerhedsfirmaet Pradeo. Den forklædte sig som en legitim 2FA-app og brugte coveret til at skubbe den relativt nye, men ekstremt farlige Vultur-malware designet til at stjæle bankoplysninger.
I deres rapport bemærker forskere, at den fuldt funktionelle 2FA-godkendelsesapp blev fjernet fra Google Play den 27. januar efter at have været tilgængelig i butikken i over to uger, hvor den så over 10.000 downloads.
Ifølge forskerne udviklede trusselsaktørerne appen ved hjælp af den ægte, open source Aegis-godkendelsesapplikation, før de tilførte ondsindet funktionalitet i den.
Pradeo hævder, at den falske app's omfattende bedrag gjorde det muligt for den at forklæde sig selv som et autentificeringsværktøj og bestå en tilfældig brugerkontrol. Det, der dog skræmte forskerne, var appens omfattende anmodninger om tilladelser, herunder kamera- og biometrisk adgang, systemadvarsler, pakkeforespørgsler og muligheden for at deaktivere tastelåsen.
Disse tilladelser er langt større end dem, der kræves af den originale Aegis-applikation, og de blev ikke afsløret i appens Google Play-profil. De udsætter også brugere for risiko for økonomisk datatyveri og andre opfølgende angreb, selvom downloaderen ikke brugte appen.
Mens den falske 2FA-app er blevet fjernet fra Play Butik, advarer Pradeo brugere, der har installeret appen, om at fjerne den manuelt med det samme.
