2FA Authenticator okazała się zawirusowaną aplikacją na Androida. Zainstalowało ją 10 tys. osób

Aplikacja na Androida 2FA Authenticator okazała się złośliwym oprogramowaniem malware. Ponad 10 tys. użytkowników sklepu Google Play pobrało narzędzie, które kradnie dane bankowe.

2FA Authenticator wirusem / Fot. PhotoMIX Company, Pexels.com

2FA Authenticator wirusem / Fot. PhotoMIX Company, Pexels.com

Google otrzymało sygnał ostrzegawczy dotyczący bezpieczeństwa sklepu Google Play po tym, jak złośliwa aplikacja 2FA Authenticator była dostępna do pobrania za darmo przez 15 dni. W tym czasie ponad 10 tys. osób zainstalowało aplikację, która miała zwiększać bezpieczeństwo, myśląc że to legalne rozwiązanie do uwierzytelniania dwuskładnikowego.

Sprawdź: DuckDuckGo

Zobacz również:

  • Jeszcze kurz nie opadł, a Qualcomm już zapowiada nowe CPU
  • Co trzecia firma w Polsce z cyberincydentem

Pradeo, firma zajmująca się cyberbezpieczeństwem, odkryła szkodliwą aplikację, która nazywa się 2FA Authenticator. Na stronie Google Play, która nie jest już dostępna, można było przeczytać, że to bezpieczny program uwierzytelniający dla usług online, w dodatku zawierający funkcje, których brakuje w istniejących aplikacjach uwierzytelniających. Były to m.in. odpowiednie szyfrowanie i kopie zapasowe. Okzało się jednak, że jest to aplikacja malware, przez którą cyberprzestępcy starali się wykradać informacje finansowe.

2FA Authenticator była zawirusowaną przeróbką Aegis Authenticator

Aegis Authenticator to legalna aplikacja, która oferuje zarządzanie tokenami weryfikacji dwuetapowej i jest oparta na oprogramowaniu open source. Twórcy 2FA Authenticator postanowili to wykorzystać i skopiowali jej kod, a następnie wstrzyknęli do niego malware. Tak powstała aplikacja, która mogła przejść testy bezpieczeństwa Google Play, ale po zainstalowaniu na telefonie lub tablecie z Androidem zachowywała się już zupełnie inaczej, niż wynikało z opisu.

Po zainstalowaniu aplikacja wymaga przyznania jej wielu uprawnień, które pozwalają później na wykonywanie wielu zadań, w tym wyłączania blokady klawiatury i zabezpieczenia hasłem, czy też pobierania aktualizacji innych firm, pracy w tle nawet po zamknięciu przez użytkownika i umieszczenia nakładki na innych interfejsach aplikacji. Do tego chce mieć dostęp do danych użytkownika.

Zobacz: Kwarantanna domowa - aplikacja

W momencie gdy aplikacja wykryje, że ma już odpowiednie uprawnienia, trojan zdalnego dostępu (Remote Access Trojan) o nazwie Vultur jest pobierany i instalowany bez wierzy użytkownika. Vultur wykorzystuje nagrywanie ekranu i keylogging to rejestrowania danych wprowadzanych do aplikacji bankowych. Następnie przesyła te dane do cyberprzestępcy, który może zalogować się do banku i wykraść pieniądze.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200