Фальшивое приложение двухфакторной аутентификации в магазине Google Play с количеством скачиваний примерно 10 тысяч устанавливало на устройства банковский троян. Оно искало финансовую и другую персональную информацию, сообщила занимающаяся информационной безопасностью компания Pradeo.
Приложение 2FA Authenticator объявилось в магазине Google две недели назад. В четверг представители Pradeo сообщили, что приложение крадёт персональные данные с пользовательских устройств. После их анализа принималось решение, устанавливать банковский троян или нет.
Троян Vultur в прошлом году нашла компания ThreatFabric. С его помощью злоумышленники способны в режиме реального времени собирать логины и пароли на вход в банковские и финансовые приложения. Чтобы 2FA Authenticator не вызывал подозрений, в основе программы лежит приложение аутентификации Aegis с открытым исходным кодом. Обеспечивать аутентификацию она действительно умеет.
Заодно программа составляет список установленных на устройстве приложений и его местоположение. Отключался экран блокировки, под видом обновлений ставились сторонние приложения и накладывались интерфейсы других мобильных приложений.
Если местоположение было подходящим, как и список приложений, устанавливался троян. Он записывал содержимое экрана, если запускалось одно из 103 банковских, финансовых или криптовалютных приложений.
2FA Authenticator появился в магазине 12 января. Google поставили в известность 26 января и через примерно 12 часов программа была удалена из магазина. Опытные пользователи могли заподозрить неладное по большому количеству запрашиваемых приложением разрешений. Приложение Aegis этих разрешений не требует.
Нужно иметь в виду, что 2FA Authenticator остаётся доступным для скачивания в других местах, сообщает Arstechnica.