Ερευνητές κυβερνοασφάλειας βοήθησαν να διαγραφεί μια ψεύτικη εφαρμογή ελέγχου ταυτότητας δύο παραγόντων (2FA) από το Google Play store, η οποία έκρυβε ένα γνωστό κακόβουλο λογισμικό κλοπής τραπεζικών διαπιστευτηρίων.
Η εφαρμογή, με το όνομα 2FA Authenticator, ανακαλύφθηκε από τεχνίτες ασφαλείας στην εταιρεία ασφαλείας Pradeo. Μεταμφιέστηκε σε μια νόμιμη εφαρμογή 2FA και χρησιμοποίησε το εξώφυλλο για να προωθήσει το σχετικά νέο αλλά εξαιρετικά επικίνδυνο κακόβουλο λογισμικό Vultur που σχεδιάστηκε για να κλέβει τραπεζικά διαπιστευτήρια.
Στην έκθεσή τους, οι ερευνητές σημειώνουν ότι η πλήρως λειτουργική εφαρμογή ελέγχου ταυτότητας 2FA καταργήθηκε από το Google Play στις 27 Ιανουαρίου, αφού παρέμεινε διαθέσιμη στο κατάστημα για περισσότερες από δύο εβδομάδες, όπου είχε πάνω από 10.000 λήψεις.
Σύμφωνα με τους ερευνητές, οι φορείς απειλών ανέπτυξαν την εφαρμογή χρησιμοποιώντας την αυθεντική, ανοιχτού κώδικα εφαρμογή ελέγχου ταυτότητας Aegis προτού εγχύσουν κακόβουλη λειτουργία σε αυτήν.
Η Pradeo ισχυρίζεται ότι η περίτεχνη εξαπάτηση της ψεύτικης εφαρμογής της επέτρεψε να μεταμφιεστεί επιτυχώς ως εργαλείο ελέγχου ταυτότητας και να περάσει από τον απλό έλεγχο των χρηστών. Ωστόσο, αυτό που τρόμαξε τους ερευνητές ήταν τα περίπλοκα αιτήματα της εφαρμογής για άδειες, όπως η κάμερα και η βιομετρική πρόσβαση, οι ειδοποιήσεις συστήματος, η αναζήτηση πακέτου και η δυνατότητα απενεργοποίησης του κλειδώματος.
Αυτές οι άδειες είναι πολύ μεγαλύτερες από αυτές που απαιτούνται από την αρχική εφαρμογή Aegis και δεν αποκαλύφθηκαν στο προφίλ της εφαρμογής στο Google Play. Αφήνουν επίσης τους χρήστες σε κίνδυνο από κλοπή οικονομικών δεδομένων και άλλες επακόλουθες επιθέσεις, ακόμα κι αν ο χρήστης που κατέβασε δεν χρησιμοποίησε την εφαρμογή.
Ενώ η ψεύτικη εφαρμογή 2FA έχει αφαιρεθεί από το Play Store, το Pradeo προειδοποιεί τους χρήστες που έχουν εγκαταστήσει την εφαρμογή να την αφαιρέσουν αμέσως με μη αυτόματο τρόπο.