10Kデバイスをマルウェアに感染させた後にプルダウンされたMFAAndroidアプリ

Androidバンキング型トロイの木馬を含む多要素認証アプリが最近GooglePlayAndroidストアから削除されました。ただし、セキュリティ研究者によると、アプリは削除前に約1万回ダウンロードされています。

アプリケーションは、缶に書かれていることを実行しました。その単純な名前に合うように、 MFA機能が含まれていました。「2FAAuthenticator」です。ただし、Vulturバンキングトロイの木馬も含まれていました。これは、被害者の電話からバンキングログイン資格情報を取得できるAndroidスティーラーです。

機能的なMFAアプリに隠されたVulturマルウェア

アプリの問題は、セキュリティ会社Pradeoの調査チームによってカバーされました。彼らの報告によると、アプリを介してVulturを配布するハッカーは、機能する合法的なMFAアプリを作成する努力を重ねました。そのため、情報を盗むトロイの木馬を配布するための説得力のある手段があります。

Pradeoによると、アプリが最初にGoogle Playストアに掲載され、2週間存続した理由は、AegisAuthenticatorプロジェクトに属するオープンソースの認証コードを使用したためです。アプリ内に機能するMFAモジュールが含まれているという事実は、アプリをうまく偽装し、しばらくの間気付かれないようにするのに役立ちました。

Vulturは、同様のスティーラーで使用されていた通常のHTMLオーバーレイから離れ、デバイスの画面で何が起こっているかを記録する最初のRATであったため特別でした。 Vulturマルウェアは、2021年初頭に最初に発見されました。

Vulturを搭載したアプリが追加の権限を要求する

バンキング型トロイの木馬を封じ込めるだけでなく、削除された悪意のあるMFAアプリは、ストアページに開示されているものをはるかに超える特権も要求しました。これらの権限が付与されると、マルウェアの背後にいる悪意のある人物が被害者のGPS位置を追跡し、他のアプリをダウンロードし、さらにはデバイス全体を制御できるようになります。

悪意のあるアプリをダウンロードした1万人のユーザーはすべて、データと資格情報の盗難のリスクを最小限に抑えるために、できるだけ早くアプリを削除することをお勧めします。