一個(gè)惡意的雙因素認(rèn)證(2FA)應(yīng)用程序在上架兩個(gè)多星期之后，已經(jīng)從Google Play中刪除了。但在此之前它已經(jīng)被下載了超過10,000次。作為一款2FA認(rèn)證器，這款應(yīng)用功能齊全，但卻加載了Vultur竊取器惡意軟件。該軟件以用戶的金融數(shù)據(jù)為攻擊目標(biāo)，并可能對其造成重大破壞。

Pradeo公司的研究人員建議使用該惡意應(yīng)用程序(名為 "2FA認(rèn)證器")的用戶立即從他們的設(shè)備中刪除該應(yīng)用程序，因?yàn)樗麄兊男畔⒑芸赡軙还?。該?yīng)用程序所獲得的其他權(quán)限也可能會帶來其他的攻擊。

威脅者開發(fā)了一個(gè)可控制的、偽裝精致的應(yīng)用程序來投放惡意軟件，并且使用開源的Aegis認(rèn)證代碼注入惡意的附加組件。根據(jù)Pradeo周四發(fā)布的一份報(bào)告，這些特點(diǎn)有助于它通過Google Play傳播而不易被發(fā)現(xiàn)。

報(bào)告補(bǔ)充說："因此，該惡意應(yīng)用程序成功地偽裝成了一個(gè)認(rèn)證工具，這樣可以確保它不會輕易被人發(fā)現(xiàn)?！?/p>

Vultur銀行木馬獲取了更多權(quán)限

一旦應(yīng)用程序被下載，該應(yīng)用程序就會安裝Vultur銀行木馬，它可以竊取被攻擊設(shè)備上的銀行數(shù)據(jù)，除此之外，其實(shí)還可以做很多事情。

Vultur遠(yuǎn)程訪問特洛伊木馬(RAT)惡意軟件在去年3月首次被ThreatFabric的分析師發(fā)現(xiàn)，它是第一個(gè)使用鍵盤記錄和屏幕記錄來盜竊銀行數(shù)據(jù)的軟件，該功能使該組織能夠自動收集用戶的憑證。

ThreatFabric當(dāng)時(shí)說，攻擊者沒有選擇使用我們通常在其他安卓銀行木馬中看到的HTML覆蓋策略，這種方法通常需要攻擊者花費(fèi)更多的時(shí)間和精力，才可以從用戶那里竊取到信息。相反，他們選擇使用了更為簡單的記錄屏幕上顯示的內(nèi)容的方法，同樣能夠有效地獲得相同的結(jié)果。

Pradeo團(tuán)隊(duì)說，這個(gè)騙局中使用的2FA認(rèn)證器除了需要Google Play資料中所標(biāo)注的設(shè)備權(quán)限外，它還要求更多權(quán)限。

除了具有銀行木馬的功能外，獲取的各種高級權(quán)限能夠使攻擊者執(zhí)行更多的功能。例如，報(bào)告解釋說，訪問用戶的位置數(shù)據(jù)，這樣就可以針對特定地區(qū)的用戶進(jìn)行攻擊;禁用設(shè)備鎖和密碼安全功能、下載第三方應(yīng)用程序、以及接管設(shè)備的控制權(quán)。

Pradeo發(fā)現(xiàn)了該惡意的2FA軟件的另一個(gè)攻擊方式，它通過獲取SYSTEM_ALERT_WINDOW權(quán)限，使該應(yīng)用能夠改變其他移動應(yīng)用的界面。正如谷歌自己解釋的那樣，很少有應(yīng)用程序使用這個(gè)權(quán)限;這些窗口是為了與用戶進(jìn)行系統(tǒng)級互動。

一旦設(shè)備被完全破壞，該應(yīng)用程序就會安裝Vultur，這是一種先進(jìn)的、相對較新的惡意軟件，主要是針對網(wǎng)上銀行界面進(jìn)行攻擊，竊取用戶的憑證和其他重要的財(cái)務(wù)信息。

Pradeo的團(tuán)隊(duì)報(bào)告說，雖然研究人員向Google Play提交了他們的披露信息，然而那些加載銀行木馬的惡意2FA Authenticator應(yīng)用程序仍然在15天內(nèi)是可用的。

本文翻譯自：https://threatpost.com/2fa-app-banking-trojan-google-play/178077/如若轉(zhuǎn)載，請注明原文地址。