חוקרי אבטחת סייבר עזרו למחוק אפליקציית אימות דו-גורמי מזויף (2FA) מחנות Google Play, שהסתירה תוכנה זדונית ידועה שגנבת אישורי בנק.
האפליקציה, ששמה 2FA Authenticator, התגלתה על ידי חוקרי אבטחה בחברת האבטחה Pradeo. היא התחפשה לאפליקציית 2FA לגיטימית והשתמשה בכיסוי כדי לדחוף את התוכנה הזדונית החדשה יחסית אך המסוכנת ביותר Vultur שנועדה לגנוב אישורי בנק.
בדוח שלהם, החוקרים מציינים שאפליקציית המאמת 2FA הפונקציונלית במלואה הוסרה מ-Google Play ב-27 בינואר, לאחר שנותרה זמינה בחנות במשך יותר משבועיים, שם היא ראתה למעלה מ-10,000 הורדות.
לפי החוקרים, שחקני האיומים פיתחו את האפליקציה באמצעות אפליקציית האימות המקורית של Aegis בקוד פתוח לפני שהחדירו לתוכה פונקציונליות זדונית.
Pradeo טוען שההטעיה המורכבת של האפליקציה המזויפת אפשרה לה להסוות את עצמה בהצלחה ככלי אימות ולעבור בדיקה מקרית של משתמשים. מה שהפחיד את החוקרים, לעומת זאת, היה הבקשות המורחבות של האפליקציה להרשאות, כולל מצלמה וגישה ביומטרית, התראות מערכת, שאילתות חבילות והיכולת להשבית את נעילת המקשים.
הרשאות אלו גדולות בהרבה מאלה הנדרשות על ידי אפליקציית Aegis המקורית, והן לא נחשפו בפרופיל Google Play של האפליקציה. הם גם משאירים את המשתמשים בסיכון מגניבת נתונים פיננסיים ומתקפות מעקב אחרות, גם אם המוריד לא השתמש באפליקציה.
בעוד שהאפליקציה המזויפת 2FA הוסרה מחנות Play, Pradeo מזהירה משתמשים שהתקינו את האפליקציה להסיר אותה באופן ידני באופן מיידי.