2FA Authenicator, czyli dobrze ukryte malware
Jak donosi ZDNet, złośliwa aplikacja została wykryta przez firmę Pradeo zajmującą się cyberbezpieczeństwem. Aplikacja ta nosiła nazwę 2FA Authenticator. Jej strona w sklepie Google Play (która na szczęście już nie istnieje), opisywała ją jako „bezpieczny program uwierzytelniający dla Twoich usług online, zawierający również niektóre funkcje, których brakuje w istniejących aplikacjach uwierzytelniających, takich jak odpowiednie szyfrowanie i tworzenie kopii zapasowych”. W rzeczywistości jednak aplikacja wykradała wrażliwe dane użytkowników.
Aplikacja 2FA Authenticator bazowała na kodzie źródłowym aplikacji, która rzeczywiście pozwala na zarządzanie tokenami służącymi do weryfikacji dwuskładnikowej w usługach online – Aegis Authenticator. Jest to aplikacja otwartoźródłowa, co hakerzy postanowili wykorzystać. Jej kod połączono po prostu ze złośliwym kodem. Dzięki temu aplikacja 2FA Authenticator mogła przejść testy bezpieczeństwa sklepu Google Play, ale po instalacji na smartfonie lub tablecie pokazywała swoje prawdziwe oblicze.
Drzwi dla trojana
Co tak właściwie działo się po instalacji 2FA Authenticator? W skrócie, aplikacja żądała w urządzeniu dostępu do „krytycznych uprawnień”, które pozwalały jej na wyłączanie wszelakich zabezpieczeń, instalowanie aplikacji i aktualizacji autorstwa firm trzecich, kontynuowanie pracy w tle po wyjściu użytkownika z aplikacji, a nawet umieszczanie nakładki na interfejsach innych aplikacji i dostęp do danych użytkownika.
Gdy 2FA Authenticator stwierdzał, że urządzenie, na którym się znajdował, spełniało kilka warunków, pobierał na nie trojana o nazwie Vultur – oczywiście bez wiedzy użytkownika. Trojan ten nagrywa ekran i rejestruje uderzenia w jego klawisze, by rejestrować informacje wprowadzane do aplikacji bankowych. Zatem, umożliwia on przestępcom opróżnianie kont bankowych lub portfeli z kryptowalutami.
Pobrałeś 2FA Authenticator? Co teraz?
Rzecz jasna, jeśli zainstalowałeś aplikację 2FA Authenticator na swoim urządzeniu, powinieneś ją natychmiast odinstalować. To jednak nie wszystko, gdyż pozostawia ona po sobie pewne ślady. Jak informują specjaliści z Pradeo, aby wyeliminować niebezpieczeństwo z urządzenia należy usunąć folder com.privacy.account.safetyapp. Zrobisz to z pomocą menedżera plików.
Na wszelki wypadek warto też zmienić dane logowania do swoich aplikacji bankowych i portfeli kryptowalut. Dzięki temu upewnisz się, że usługi te nie są narażone na kradzież Twoich funduszy.
Źródło: ZDNet, fot. tyt. Canva