Các nhà nghiên cứu an ninh mạng đã giúp xóa một ứng dụng xác thực hai yếu tố (2FA) giả mạo khỏi cửa hàng Google Play, ứng dụng này đã che giấu một phần mềm độc hại đánh cắp thông tin xác thực ngân hàng nổi tiếng.
Ứng dụng, có tên là 2FA Authenticator, được phát hiện bởi các nhân viên bảo mật tại công ty bảo mật, Pradeo. Nó ngụy trang thành một ứng dụng 2FA hợp pháp và sử dụng vỏ bọc để đẩy phần mềm độc hại Vultur tương đối mới nhưng cực kỳ nguy hiểm được thiết kế để đánh cắp thông tin xác thực ngân hàng.
Trong báo cáo của họ, các nhà nghiên cứu lưu ý rằng ứng dụng xác thực 2FA đầy đủ chức năng đã bị xóa khỏi Google Play vào ngày 27 tháng 1, sau khi vẫn có sẵn trên cửa hàng trong hơn hai tuần, với hơn 10.000 lượt tải xuống.
Theo các nhà nghiên cứu, những kẻ đe dọa đã phát triển ứng dụng này bằng cách sử dụng ứng dụng xác thực Aegis mã nguồn mở, chính hãng trước khi đưa chức năng độc hại vào nó.
Pradeo tuyên bố sự lừa dối tinh vi của ứng dụng giả mạo đã cho phép nó ngụy trang thành công thành một công cụ xác thực và vượt qua sự giám sát của người dùng thông thường. Tuy nhiên, điều khiến các nhà nghiên cứu kinh ngạc là các yêu cầu cấp quyền phức tạp của ứng dụng, bao gồm quyền truy cập máy ảnh và sinh trắc học, cảnh báo hệ thống, truy vấn gói và khả năng vô hiệu hóa khóa phím.
Các quyền này lớn hơn nhiều so với yêu cầu của ứng dụng Aegis ban đầu và chúng không được tiết lộ trong hồ sơ Google Play của ứng dụng. Chúng cũng khiến người dùng gặp rủi ro từ việc đánh cắp dữ liệu tài chính và các cuộc tấn công tiếp theo khác, ngay cả khi người tải xuống không sử dụng ứng dụng.
Trong khi ứng dụng 2FA giả mạo đã bị xóa khỏi Cửa hàng Play, Pradeo cảnh báo những người dùng đã cài đặt ứng dụng này hãy xóa ứng dụng theo cách thủ công ngay lập tức.
