Kyberturvallisuustutkijat ovat auttaneet poistamaan Google Play Kaupasta väärennetyn kaksivaiheisen todennussovelluksen (2FA), joka kätki tunnetun pankkitunnuksia varastavan haittaohjelman.
Sovellus, jonka nimi on 2FA Authenticator, löydettiin Pradeon vartiointiyrityksen turvatutkijoiden toimesta. Se naamioitui lailliseksi 2FA-sovellukseksi ja käytti kantta työntääkseen suhteellisen uutta mutta erittäin vaarallista Vultur-haittaohjelmaa, joka oli suunniteltu varastamaan pankkitunnuksia.
Raportissaan tutkijat huomauttavat, että täysin toimiva 2FA-todennussovellus poistettiin Google Playsta 27. tammikuuta sen jälkeen, kun se oli ollut saatavilla kaupassa yli kaksi viikkoa, jolloin sitä ladattiin yli 10 000.
Tutkijoiden mukaan uhkatoimijat kehittivät sovelluksen käyttämällä aitoa, avoimen lähdekoodin Aegis-todennussovellusta, ennen kuin lisäsivät siihen haitallisia toimintoja.
Pradeo väittää, että väärennetyn sovelluksen monimutkaisen petoksen ansiosta se onnistui naamioitumaan todennustyökaluksi ja läpäisi satunnaisen käyttäjän tarkastelun. Tutkijoita pelotti kuitenkin sovelluksen monimutkaiset lupapyynnöt, mukaan lukien kameran ja biometristen tietojen käyttö, järjestelmähälytykset, pakettikyselyt ja mahdollisuus poistaa näppäinlukko käytöstä.
Nämä luvat ovat paljon suuremmat kuin alkuperäisen Aegis-sovelluksen vaatimat käyttöoikeudet, eikä niitä kerrottu sovelluksen Google Play -profiilissa. Ne myös jättävät käyttäjät vaaraan taloudellisten tietojen varkauksien ja muiden seurantahyökkäysten vuoksi, vaikka latausohjelma ei olisi käyttänyt sovellusta.
Vaikka väärennetty 2FA-sovellus on poistettu Play Kaupasta, Pradeo varoittaa sovelluksen asentaneita käyttäjiä poistamaan sen manuaalisesti välittömästi.