Se ha detectado un dropper en la aplicación llamada 2FA Authenticator, el cual permitiría a un atacante propagar malware en los dispositivos de los usuarios que la descargan con el objetivo de robar credenciales bancarias y realizar acciones no autorizadas.
La aplicación 2FA Authenticator ha sido desarrollada para aparentar legitimidad y brindar un servicio real. Para ello, sus desarrolladores utilizaron el código fuente abierto de la aplicación oficial de autenticación Aegis a la que inyectaron código malicioso. Como resultado, la aplicación se disfraza como una herramienta de autenticación de dos pasos legítima.
A diferencia de la aplicación oficial Aegis, 2FA Authenticator solicita permisos críticos que no revela en su perfil de Google Play. Estos permisos ocultos y el código malicioso que ejecuta la aplicación le permitirían:
- Recopilar y enviar la lista de aplicaciones de los usuarios y la localización a los atacantes, con el objetivo de aprovechar la información para realizar ataques dirigidos.
- Deshabilitar el bloqueo de pantalla y cualquier seguridad asociada.
- Descargar aplicaciones de terceros bajo la forma de supuestas actualizaciones.
- Realizar acciones no autorizadas incluso cuando la aplicación no se encuentra en uso.
- Superponer la interfaz de otras aplicaciones móviles utilizando un permiso llamado SYSTEM_ALERT_WINDOW para el cual Google especifica: “Muy pocas aplicaciones deberían usar este permiso; estas ventanas están destinadas a la interacción a nivel de sistema con el usuario”.
Por último, para la etapa final del ataque, dependerá de la información que ha recopilado de la aplicación maliciosa. Una vez cumplidas ciertas condiciones, el dropper instala el malware llamado Vultur, un tipo de malware avanzado y relativamente nuevo que se dirige principalmente a las aplicaciones de homebanking para robar las credenciales de los usuarios y otra información financiera crítica.
Se recomienda a los usuarios de esta aplicación eliminar la misma inmediatamente.
Referencias:
- https://blog.pradeo.com/vultur-malware-dropper-google-play
- https://www.zdnet.com/article/google-play-app-dropped-vultur-banking-trojan-on-android-handsets/
- https://latesthackingnews.com/2022/01/31/google-removed-fake-authenticator-app-from-play-store-that-dropped-vultur-malware/
- https://securityboulevard.com/2022/01/banking-trojan-in-google-play-app-store-2fa-authenticator-drops-vultur-rat/
- https://unaaldia.hispasec.com/2022/02/una-aplicacion-2fa-cargada-con-un-troyano-bancario-infecta-a-10-000-victimas-a-traves-de-google-play.html