Приложение 2FA Authenticator, скачанное из Google Play Store около 10 000 раз, предлагало работающую двухфакторную аутентификацию, но также тайно устанавливало банковский троян Vultur. Малварь искала на зараженных устройствах финансовые данные и другую личную информацию.
Подозрительное приложение
Малварь Vultur была обнаружена экспертами
Чтобы приложение 2FA Authenticator выглядел правдоподобно, его построили на базе исходного кода опенсорсного решения
Если зараженный девайс находился в нужной локации и на нем были установлены нужные приложения, на втором этапе атаки происходила установка банкера Vultur, который был запрограммирован на запись всего происходящего на экране, если запускалось одно из 103 банковских, финансовых или криптовалютных приложений.
Исследователи отмечают, что догадаться о вредоносной природе приложения можно было по запрашиваемым им разрешениям, которые включали:
- permission.QUERY_ALL_PACKAGES;
- permission.SYSTEM_ALERT_WINDOW;
- permission.REQUEST_INSTALL_PACKAGES;
- permission.INTERNET;
- permission.FOREGROUND_SERVICE;
- permission.RECEIVE_BOOT_COMPLETED;
- permission.DISABLE_KEYGUARD;
- permission.WAKE_LOCK.
Так как Aegis — инструмент простой и опенсорсный, ему просто не могли требоваться такие права. Еще одни верным признаком вредоносной активности была загрузка приложений под видом обновлений.
В настоящее время 2FA Authenticator уже удален из официального магазина приложений, однако с 12 по 26 января 2022 года его успели установить около 10 000 пользователей.