Pesquisadores de cibersegurança ajudaram a remover um aplicativo falso de autenticação de dois fatores (2FA) da Google Play Store, que ocultava um conhecido malware de roubo de credenciais bancárias.
O aplicativo, chamado 2FA Authenticator, foi descoberto por detetives de segurança da empresa de segurança Pradeo. Ele se disfarçou como um aplicativo 2FA legítimo e usou a capa para empurrar o malware Vultur relativamente novo, mas extremamente perigoso, projetado para roubar credenciais bancárias.
Em seu relatório, os pesquisadores observam que o aplicativo autenticador 2FA totalmente funcional foi removido do Google Play em 27 de janeiro, depois de permanecer disponível na loja por mais de duas semanas, onde teve mais de 10.000 downloads.
De acordo com os pesquisadores, os agentes da ameaça desenvolveram o aplicativo usando o aplicativo de autenticação Aegis genuíno e de código aberto antes de infundir funcionalidades maliciosas nele.
Pradeo afirma que o engano elaborado do aplicativo falso permitiu que ele se disfarçasse com sucesso como uma ferramenta de autenticação e passasse pelo escrutínio casual do usuário. O que assustou os pesquisadores, no entanto, foram os elaborados pedidos de permissões do aplicativo, incluindo câmera e acesso biométrico, alertas do sistema, consulta de pacotes e a capacidade de desativar o bloqueio de teclas.
Essas permissões são muito maiores do que as exigidas pelo aplicativo Aegis original e não foram divulgadas no perfil do Google Play do aplicativo. Eles também deixam os usuários em risco de roubo de dados financeiros e outros ataques de acompanhamento, mesmo que o downloader não tenha usado o aplicativo.
Embora o aplicativo 2FA falso tenha sido removido da Play Store, o Pradeo avisa os usuários que instalaram o aplicativo para removê-lo manualmente imediatamente.
