Cybersicherheitsforscher haben geholfen, eine gefälschte Zwei-Faktor-Authentifizierungs-App (2FA) aus dem Google Play Store zu entfernen, die eine bekannte Malware zum Diebstahl von Bankdaten verbirgt.
Die App mit dem Namen 2FA Authenticator wurde von Sicherheitsdetektiven der Sicherheitsfirma Pradeo entdeckt. Es tarnte sich als legitime 2FA-App und benutzte die Tarnung, um die relativ neue, aber extrem gefährliche Vultur-Malware zu verbreiten, die darauf ausgelegt ist, Bankdaten zu stehlen.
In ihrem Bericht stellen die Forscher fest, dass die voll funktionsfähige 2FA-Authentifizierungs-App am 27. Januar aus Google Play entfernt wurde, nachdem sie über zwei Wochen lang im Store verfügbar war, wo sie über 10.000 Mal heruntergeladen wurde.
Laut den Forschern haben die Bedrohungsakteure die App mit der echten Open-Source-Aegis-Authentifizierungsanwendung entwickelt, bevor sie böswillige Funktionen eingebaut haben.
Pradeo behauptet, die ausgeklügelte Täuschung der gefälschten App habe es ihr ermöglicht, sich erfolgreich als Authentifizierungstool zu tarnen und eine gelegentliche Überprüfung durch die Benutzer zu bestehen. Was die Forscher jedoch erschreckte, waren die aufwändigen Anfragen der App nach Berechtigungen, darunter Kamera- und biometrischer Zugriff, Systemwarnungen, Paketabfragen und die Möglichkeit, die Tastensperre zu deaktivieren.
Diese Berechtigungen gehen weit über die der ursprünglichen Aegis-Anwendung hinaus und wurden im Google Play-Profil der App nicht offengelegt. Sie setzen Benutzer auch dem Risiko von Finanzdatendiebstahl und anderen Folgeangriffen aus, selbst wenn der Downloader die App nicht verwendet hat.
Während die gefälschte 2FA-App aus dem Play Store entfernt wurde, warnt Pradeo Benutzer, die die App installiert haben, sie sofort manuell zu entfernen.