Cybersecurity-onderzoekers hebben geholpen bij het verwijderen van een nep-app voor twee-factor-authenticatie (2FA) uit de Google Play Store, die een bekende malware voor het stelen van bankgegevens verborg.
De app, genaamd 2FA Authenticator, werd ontdekt door beveiligingsspeurneuzen bij beveiligingsbedrijf Pradeo. Het vermomde zichzelf als een legitieme 2FA-app en gebruikte de omslag om de relatief nieuwe maar extreem gevaarlijke Vultur-malware te pushen die is ontworpen om bankgegevens te stelen.
In hun rapport merken onderzoekers op dat de volledig functionele 2FA-authenticator-app op 27 januari van Google Play werd verwijderd, nadat hij meer dan twee weken beschikbaar was in de winkel, waar hij meer dan 10.000 downloads zag.
Volgens de onderzoekers hebben de dreigingsactoren de app ontwikkeld met behulp van de echte, open-source Aegis-authenticatietoepassing voordat ze er kwaadaardige functionaliteit in hebben gestopt.
Pradeo beweert dat de uitgebreide misleiding van de nep-app het mogelijk maakte om zichzelf met succes te vermommen als een authenticatietool en door de toevallige controle van de gebruiker te komen. Wat de onderzoekers echter deed schrikken, waren de uitgebreide verzoeken om toestemming van de app, waaronder camera- en biometrische toegang, systeemwaarschuwingen, pakketquery's en de mogelijkheid om de toetsvergrendeling uit te schakelen.
Deze machtigingen zijn veel groter dan die vereist zijn door de oorspronkelijke Aegis-app, en ze zijn niet bekendgemaakt in het Google Play-profiel van de app. Ze laten gebruikers ook het risico lopen op diefstal van financiële gegevens en andere vervolgaanvallen, zelfs als de downloader de app niet heeft gebruikt.
Hoewel de nep-app 2FA is verwijderd uit de Play Store, waarschuwt Pradeo gebruikers die de app hebben geïnstalleerd om deze onmiddellijk handmatig te verwijderen.
