發現一個偽造的2FA身份驗證器從Google Play下載了10,000次。眾所周知,該應用程序安裝了銀行弗拉德木馬,該銀行在受感染設備上尋找財務數據和其他個人信息。
偽造的2FA身份驗證器應用程序從Google Play下載
安全公司普拉迪奧說該假應用程序“秘密地”安裝了一個受歡迎的特洛伊木馬,該特洛伊木馬在感染設備上尋找財務數據和個人信息。 2FA身份驗證者兩週前在Google Play上直播,作為Twilio和Google等受信任公司的其他合法2FA應用程序的替代方法。
根據這個故事Arstechnica,該應用程序竊取個人信息。它使用它來確定感染電話是否應該繼續下載並安裝過去已經感染了數千種不同手機的銀行特洛伊木馬。
應用程序安裝了Android惡意軟件的高級PICE
安全公司威脅性公司發現了Vultur,這是Android惡意軟件的高級部分。根據出版物,其許多創新包括使用VNC屏幕共享應用程序的真實實現,該應用程序通過鏡像受感染設備的屏幕來供攻擊者看到登錄憑據和其他敏感數據,並實時獲得金融和銀行應用程序。
為了使假應用看起來很自然,開發人員從合法的樣本開始,如上所述Girub,“開源宙斯盾認證應用程序”。因此,惡意軟件分析表明,偽造的應用程序已編程以提供廣告的身份驗證服務。
假應用程序檢查財務,加密貨幣和銀行應用程序
在幕後,該應用程序收集了應用程序中安裝的不同應用程序的列表,包括設備的地理位置。該應用程序還禁用Android鎖定屏幕,下載某些將它們隱藏為“更新”的第三方應用程序,並覆蓋其他接口,以使受害者感到困惑。
如果設備返回位置並安裝了正確的應用程序,則2FA身份驗證者將安裝Vultur作為第二階段。當103個不同的財務,加密貨幣或銀行應用程序中的任何一個都在後台運行時,Vultur被編程為記錄Android設備屏幕。
應用在Google Play上安裝了10,000次
根據Pradeo的說法,2FA身份驗證者於1月12日上線,研究人員通知Google該應用在1月26日是惡意的。隨之而來的是,該公司在大約12個小時後刪除了該應用程序。
該應用程序在Google Play中可用時安裝了約10,000次。截至那一刻,尚不清楚該公司是否通知所有用戶安全應用程序是銀行業弗拉德·特洛伊木馬。
有經驗豐富的Android用戶在2FA身份驗證器中發現的危險信號,顯示出惡意的跡象。其中之一是該應用程序所需的系統權限數量的非同尋常。
本文由技術時報擁有
由Urian B撰寫
