Los investigadores de seguridad cibernética ayudaron a eliminar una aplicación falsa de autenticación de dos factores (2FA) de la tienda Google Play, que ocultaba un conocido malware de robo de credenciales bancarias.
La aplicación, llamada 2FA Authenticator, fue descubierta por detectives de seguridad de la empresa de seguridad Pradeo. Se disfrazó como una aplicación 2FA legítima y usó la cubierta para impulsar el malware Vultur, relativamente nuevo pero extremadamente peligroso, diseñado para robar credenciales bancarias.
En su informe, los investigadores señalan que la aplicación de autenticación 2FA totalmente funcional se eliminó de Google Play el 27 de enero, luego de permanecer disponible en la tienda durante más de dos semanas, donde registró más de 10 000 descargas.
Según los investigadores, los atacantes desarrollaron la aplicación utilizando la aplicación de autenticación Aegis genuina y de código abierto antes de infundirle funcionalidad maliciosa.
Pradeo afirma que el elaborado engaño de la aplicación falsa le permitió disfrazarse con éxito como una herramienta de autenticación y pasar el escrutinio de los usuarios ocasionales. Sin embargo, lo que asustó a los investigadores fueron las elaboradas solicitudes de permisos de la aplicación, incluido el acceso biométrico y de cámara, alertas del sistema, consulta de paquetes y la capacidad de desactivar el bloqueo de teclas.
Estos permisos son mucho mayores que los requeridos por la aplicación Aegis original y no se revelaron en el perfil de Google Play de la aplicación. También dejan a los usuarios en riesgo de robo de datos financieros y otros ataques de seguimiento, incluso si el descargador no usó la aplicación.
Si bien la aplicación 2FA falsa se eliminó de Play Store, Pradeo advierte a los usuarios que instalaron la aplicación que la eliminen manualmente de inmediato.