I ricercatori sulla sicurezza informatica hanno aiutato a rimuovere dal Google Play Store una falsa app di autenticazione a due fattori (2FA), che nascondeva un noto malware per il furto di credenziali bancarie.
L'app, denominata 2FA Authenticator, è stata scoperta dagli investigatori della sicurezza presso la società di sicurezza Pradeo. Si è camuffata da legittima app 2FA e ha utilizzato la copertura per spingere il malware Vultur relativamente nuovo ma estremamente pericoloso progettato per rubare le credenziali bancarie.
Nel loro rapporto, i ricercatori notano che l'app di autenticazione 2FA completamente funzionante è stata rimossa da Google Play il 27 gennaio, dopo essere rimasta disponibile nello store per oltre due settimane, dove ha visto oltre 10.000 download.
Secondo i ricercatori, gli attori delle minacce hanno sviluppato l'app utilizzando l'autentica applicazione di autenticazione open source Aegis prima di infondervi funzionalità dannose.
Pradeo afferma che l'elaborato inganno della falsa app le ha permesso di camuffarsi con successo da strumento di autenticazione e superare il controllo casuale dell'utente. Ciò che ha spaventato i ricercatori, tuttavia, sono state le elaborate richieste di autorizzazioni dell'app, tra cui l'accesso alla fotocamera e biometrico, gli avvisi di sistema, le query sui pacchetti e la possibilità di disabilitare il blocco dei tasti.
Queste autorizzazioni sono di gran lunga superiori a quelle richieste dall'applicazione Aegis originale e non sono state divulgate nel profilo Google Play dell'app. Inoltre, lasciano gli utenti a rischio di furto di dati finanziari e altri attacchi successivi, anche se il downloader non ha utilizzato l'app.
Mentre la falsa app 2FA è stata rimossa dal Play Store, Pradeo avverte gli utenti che hanno installato l'app di rimuoverla manualmente immediatamente.
