一个恶意的双因素认证(2FA)应用程序在上架两个多星期之后,已经从Google Play中删除了。但在此之前它已经被下载了超过10,000次。作为一款2FA认证器,这款应用功能齐全,但却加载了Vultur窃取器恶意软件。该软件以用户的金融数据为攻击目标,并可能对其造成重大破坏。
Pradeo公司的研究人员建议使用该恶意应用程序(名为 "2FA认证器")的用户立即从他们的设备中删除该应用程序,因为他们的信息很可能会被攻击。该应用程序所获得的其他权限也可能会带来其他的攻击。
威胁者开发了一个可控制的、伪装精致的应用程序来投放恶意软件,并且使用开源的Aegis认证代码注入恶意的附加组件。根据Pradeo周四发布的一份报告,这些特点有助于它通过Google Play传播而不易被发现。
报告补充说:"因此,该恶意应用程序成功地伪装成了一个认证工具,这样可以确保它不会轻易被人发现。”
Vultur银行木马获取了更多权限
一旦应用程序被下载,该应用程序就会安装Vultur银行木马,它可以窃取被攻击设备上的银行数据,除此之外,其实还可以做很多事情。
Vultur远程访问特洛伊木马(RAT)恶意软件在去年3月首次被ThreatFabric的分析师发现,它是第一个使用键盘记录和屏幕记录来盗窃银行数据的软件,该功能使该组织能够自动收集用户的凭证。
ThreatFabric当时说,攻击者没有选择使用我们通常在其他安卓银行木马中看到的HTML覆盖策略,这种方法通常需要攻击者花费更多的时间和精力,才可以从用户那里窃取到信息。相反,他们选择使用了更为简单的记录屏幕上显示的内容的方法,同样能够有效地获得相同的结果。
Pradeo团队说,这个骗局中使用的2FA认证器除了需要Google Play资料中所标注的设备权限外,它还要求更多权限。
除了具有银行木马的功能外,获取的各种高级权限能够使攻击者执行更多的功能。例如,报告解释说,访问用户的位置数据,这样就可以针对特定地区的用户进行攻击;禁用设备锁和密码安全功能、下载第三方应用程序、以及接管设备的控制权。
Pradeo发现了该恶意的2FA软件的另一个攻击方式,它通过获取SYSTEM_ALERT_WINDOW权限,使该应用能够改变其他移动应用的界面。正如谷歌自己解释的那样,很少有应用程序使用这个权限;这些窗口是为了与用户进行系统级互动。
一旦设备被完全破坏,该应用程序就会安装Vultur,这是一种先进的、相对较新的恶意软件,主要是针对网上银行界面进行攻击,窃取用户的凭证和其他重要的财务信息。
Pradeo的团队报告说,虽然研究人员向Google Play提交了他们的披露信息,然而那些加载银行木马的恶意2FA Authenticator应用程序仍然在15天内是可用的。