一款恶意双因素身份验证(2FA)应用程序在发布两周后已从GooglePlay中删除。但在此之前,它已经被下载了超过10,000次。该应用程序作为2FA身份验证器具有完整的功能,但加载了Vultur窃取器恶意软件。该软件以用户的财务数据为目标,并可能对其造成严重破坏。Pradeo研究人员建议恶意应用程序(名为“2FAAuthenticator”)的用户立即从他们的设备中删除该应用程序,因为他们的信息可能会受到损害。该应用程序获得的其他权限也可能允许其他攻击。威胁行为者开发了一个受控的、伪装良好的应用程序来传递恶意软件,并使用开源Aegis身份验证代码注入恶意插件。根据Pradeo周四发布的一份报告,这些特征有助于它通过GooglePlay传播而不易被发现。报告补充说:“因此,恶意应用程序成功地伪装成身份验证工具,确保它不会被轻易检测到。”下载应用程序后,Vultur银行木马会获得更多权限。它会安装Vultur银行木马,它可以窃取受攻击设备上的银行数据,但可以做的远不止这些。Vultur远程访问木马(RAT)恶意软件于去年3月在ThreatFabric上首次被分析师发现,它是第一个使用键盘记录和屏幕记录窃取银行数据的恶意软件,该功能允许该组织自动收集用户证书。ThreatFabric当时表示,攻击者没有选择使用我们通常在其他Android银行木马中看到的HTML覆盖策略,这种方法通常需要更多时间和精力来窃取用户信息。相反,他们选择使用更简单的方法来记录屏幕上显示的内容,这在获得相同结果方面同样有效。Pradeo团队表示,此骗局中使用的2FA身份验证器需要比GooglePlay配置文件中注明的设备权限更多的权限。除了具备银行木??马的功能外,获得的各种高级权限还可以让攻击者执行更多的功能。例如,访问用户的位置数据允许针对特定区域的用户进行攻击;报告解释说,禁用设备锁定和密码安全功能、下载第三方应用程序以及接管设备的控制权。Pradeo发现了该恶意2FA软件的另一种攻击方式,即获取SYSTEM_ALERT_WINDOW权限,使应用程序能够更改其他手机应用程序的界面。正如谷歌自己解释的那样,很少有应用程序使用此权限;这些窗口用于与用户进行系统级交互。一旦设备完全受损,该应用程序就会安装Vultur,这是一种相对较新的高级恶意软件,它以网上银行界面为目标,窃取用户的凭证和其他重要的财务信息。Pradeo的团队报告说,虽然研究人员向GooglePlay提交了他们的披露,但加载了银行木马的恶意2FAAuthenticator应用程序仍然可用15天。本文翻译自:https://threatpost.com/2fa-app-banking-trojan-google-play/178077/如有转载请注明出处。
