MaSquerading MaSquerading в качестве Android 2FA приложение заражено 10000 телефонов перед удалением
В игровом магазине есть почти три с половиной миллиона приложений, и, несмотря на предполагаемые усилия Google, вредоносные программы все еще проскальзывают каждый сейчас. Недавно удаленное приложение было особенно злонамеренным, маскирующимся как двухфакторным менеджером кода. Известен просто как 2FA Authenticator, приложение подняло более 10 000 устанавливаемых установок до тех пор, пока исследователи безопасности не определили его в качестве средства для вредоносных программ Trojan-Paropber.
Мы (и другие) всегда рекомендуем двухфакторную аутентификацию (2FA) как один из лучших способов обеспечения ваших онлайн-счетов. Некоторые сервисы полагаются на одноразовые SMS-коды, но 2FA приложения, такие как Google Authenticator и AUTHY, облегчают управление несколькими 2FA жетонами. Аутентификатор 2FA фактически был функциональным приложением 2FA - он использовал приложение аутентификации AEGIS с открытым исходным кодом в качестве основы, но при этом он содержал вредоносную программу Vultur.
Гений этого вредоносного ПО - это то, что он выглядел законным. Вы хотели 2FA приложение, ну это сделала работу. 10 000+ человек решили дать 2FA Authenticator выстрел на более установленные имена. Тем не менее, приложение злоупотребляет разрешения на Android, чтобы скопировать свой список приложений, местоположение и другую личную информацию. Vultur - это банковское обеспечение, которое стремится украсть полномочия и финансовую информацию. Он также попытается отключить экран блокировки и загрузить сторонние приложения, притворяясь, что это обновления приложений. Такое поведение подозрительно для всех, кто знаком с тем, как работает Android, но это не большинство людей.
Возможно, самым тревожным инновациям в этом куске вредоносных программ является реализацией приложения VNC-совместного использования экрана. Вы, вероятно, можете увидеть, где это происходит. Когда люди помещают свои 2FA ключей в это приложение, злоумышленник может наблюдать в режиме реального времени, чтобы пролить банковские детали и двухфакторные коды.
Приложение было проживать около двух недель, сообщает ARS Technica, дольше, чем большинство вредоносных программ, которые накладывают в игровой магазин. Вероятно, что функциональные возможности 2FA приложения помогали ему летать под радаром в течение определенного периода времени. У Google есть инструменты для удаленных приложений NUKE, загруженные из игрового магазина, но неясно, если это сделано в этом случае. Любой, кто беспокоит, они загрузили приложение, должны загрузить настроек телефона и начать меняющиеся пароли. Название пакета - «com.privacy.account.safetyapp». Если вы видите, что в ваших параметрах приложения пришло время паниковать.