Апликација из Гоогле Плаy продавнице инфицира уређаје банкарским тројанцем

Послије више од двије недеље, колико је била доступна у Гооглеовој продавници, злонамјерна апликација за двофакторну аутентификацију (2ФА) је уклоњена из продавнице, али тек пошто је преузета и инсталирана више од 10.000 пута. Апликација, која је иначе потпуно функционална, крије малвер Вултур који краде финансијске податке.

Истраживачи из фирме Прадео који су примијетили злонамјерну апликацију под називом „2ФА Аутхентицатор“, савјетују онима који су је инсталирали да је одмах избришу са уређаја јер су и даље изложени ризику, како од крађе података за пријављивање на онлајн банковни рачун, тако и од других напада који су могуц́и захваљујуц́и прекомјерним дозволама апликације.

У опису на страници апликације на Гоогле Плаy, „2ФА Аутхентицатор“ је описан као „безбједни аутентификатор за ваше онлајн услуге, који такође укључује неке функције које недостају постојец́им апликацијама за потврду идентитета, као што су правилно шифровање и резервне копије“.
Након преузимања, апликација инсталира банкарског тројанца Вултур, који краде финансијске податке на компромитованом уређају. Апликација за коју су њени програмери искористили отворени код званичне Аегис апликације за аутентификацију у коју су убацили злонамјерни код, понаша се као “дроппер” за малвер Вултур.

Малвер Вултур, тројанац за даљински приступ, био је први те врсте који је користио кеyлоггинг и снимање екрана као своју примарну тактику за крађу банкарских података, омогуц́авајуц́и сајбер криминалцима да аутоматизују процес прикупљања података. Аутори малвера су одлучили да се одмакну од уобичајене стратегије преклапања апликација банака коју обично видимо код других Андроид банкарских тројанаца: овај приступ обично захтијева више времена и труда да би се украле релевантне информације од корисника. Умјесто тога, Вултур једноставно снима оно што се приказује на екрану, добијајуц́и исти крајњи резултат.

„2ФА Аутхентицатор“ такође тражи више дозвола у односу на оно што је наведено у Гоогле Плаy профилу апликације, укључујући приступ камери и биометрији. Те скривене привилегије омогуц́авају нападачима да ураде много више од онога што омогућавају стандардни банкарски тројанци, као што је приступ подацима о локацији корисника, тако да напади могу бити усмјерени на одређене регионе, затим, онемогуц́авање закључавања уређаја и постављање лозинке, преузимање апликација из незваничних извора и преузимање контроле над уређајем, чак и ако се апликација угаси.

Када је уређај компромитован, апликација инсталира Вултур, „напредну и релативно нову врсту малвера која углавном циља интерфејс за онлајн банкарство да би украо корисничке акредитиве и друге важне финансијске информације“. Вултур углавном циља европске банке и новчанике за криптовалуте.