Getty Images
Een valse twee-factor-authenticatie-app die zo’n 10.000 keer is gedownload van Google Play, installeerde heimelijk een bekende bankfraude-trojan die geïnfecteerde telefoons doorzocht op financiële gegevens en andere persoonlijke informatie, zei beveiligingsbedrijf Pradeo.
2FA-authenticator ging live op Google Play twee weken geleden, die zich voordeed als een alternatief voor legitieme 2FA-apps van Google, Twilio, en andere vertrouwde bedrijven. Sterker nog, onderzoekers van beveiligingsbedrijf Pradeo zei op donderdag, de app steelt persoonlijke gegevens van gebruikersapparaten en gebruikt deze om te bepalen of geïnfecteerde telefoons een banktrojan moeten downloaden en installeren waarvan bekend is dat deze in het verleden duizenden telefoons heeft geïnfecteerd.
De gieren cirkelen
Vorig jaar ontdekt door beveiligingsbedrijf ThreatFabric, Vultur is een geavanceerd stuk Android-malware. Een van de vele innovaties is het gebruik van een echte implementatie van de VNC-toepassing voor het delen van schermen om schermen van geïnfecteerde apparaten te spiegelen, zodat aanvallers in realtime de inloggegevens en andere gevoelige gegevens van bank- en financiële apps kunnen verzamelen.
Om 2FA Authenticator er echt uit te laten zien, zijn de ontwikkelaars begonnen met: dit legitieme voorbeeld van de open source Aegis-authenticatietoepassing. Een analyse van de malware laat zien dat deze echt is geprogrammeerd om de authenticatieservice te bieden waarvoor het geadverteerd is.
Achter de schermen verzamelde fase één van de 2FA Authenticator echter een lijst met apps die op het apparaat waren geïnstalleerd, samen met de geografische locatie van het apparaat. De app zou ook het Android-vergrendelingsscherm uitschakelen, apps van derden downloaden met de schijn dat het “updates” waren en andere interfaces van mobiele apps overlappen om gebruikers in verwarring te brengen.
In het geval dat geïnfecteerde telefoons zich op de juiste locaties bevonden en de juiste apps waren geïnstalleerd, zou fase twee van 2FA Authenticator Vultur installeren, die ten slotte was geprogrammeerd om Android-apparaatschermen op te nemen wanneer een van de 103 bank-, financiële of cryptocurrency-apps actief zijn op de voorgrond.
Pradeo zei dat 2FA Authenticator op 12 januari live ging, dat bedrijfsonderzoekers Google op 26 januari op de hoogte brachten dat de app kwaadaardig was en dat Google deze ongeveer 12 uur later verwijderde. In de twee weken dat de app beschikbaar was in Play, werd de app door ongeveer 10.000 gebruikers geïnstalleerd. Het is niet duidelijk of Google een van hen heeft laten weten dat de beveiligings-app die ze dachten te krijgen in feite een trojan voor bankfraude was.
Achteraf waren er rode vlaggen die ervaren Android-gebruikers hadden kunnen zien dat 2FA Authenticator kwaadaardig was. De belangrijkste daarvan waren het buitengewone aantal en de omvang van de systeemrechten die het vereiste. Ze omvatten:
- android.permission.QUERY_ALL_PACKAGES
- android.permission.SYSTEM_ALERT_WINDOW
- android.permission.REQUEST_INSTALL_PACKAGES
- android.permission.INTERNET
- android.permission.FOREGROUND_SERVICE
- android.permission.RECEIVE_BOOT_COMPLETED
- android.permission.DISABLE_KEYGUARD
- android.permission.WAKE_LOCK
De officiële Aegis open source app-code vereist geen van deze machtigingen. App-downloads die zich voordoen als updates kunnen een ander veelbetekenend teken zijn dat er iets mis was met 2FA Authenticator.
Een recensie van 2FA Authenticator van een Google Play-gebruiker.
Pradeo
Een e-mail waarin om commentaar werd gevraagd van het adres van de ontwikkelaar dat in de Google Play-vermelding wordt vermeld, heeft niet onmiddellijk een reactie ontvangen. Dezelfde kwaadaardige 2FA Authenticator-app blijft beschikbaar op marktplaatsen van derden hier, hier, en hier. Google-vertegenwoordigers waren niet onmiddellijk beschikbaar voor commentaar.
“Subtiel charmante tv-maven. Unapologetische communicator. Onruststoker. Reiswetenschapper. Wannabe-denker. Muziekfanaat. Amateur-ontdekkingsreiziger.”