Pesquisadores de segurança cibernética ajudaram a remover um aplicativo falso de autenticação de dois fatores (2FA) da Google Play Store, que ocultava um conhecido malware de roubo de credenciais bancárias. O aplicativo, chamado 2FA Authenticator, foi descoberto por detetives de segurança da empresa de segurança Pradeo. Ele se disfarçou como um aplicativo 2FA legítimo e usou a capa para enviar o malware Vultur relativamente novo, mas extremamente perigoso, projetado para roubar credenciais bancárias.
Em seu relatório, os pesquisadores observam que o aplicativo autenticador 2FA totalmente funcional foi removido do Google Play em 27 de janeiro, depois de permanecer disponível na loja por mais de duas semanas, onde obteve mais de 10.000 downloads. De acordo com os pesquisadores, os agentes de ameaças desenvolveram o aplicativo usando o aplicativo de autenticação Aegis genuíno e de código aberto antes de infundir funcionalidade maliciosa nele. O Pradeo afirma que o engano elaborado do aplicativo falso permitiu que ele se disfarçasse com sucesso como uma ferramenta de autenticação e passasse pelo escrutínio casual do usuário. O que assustou os pesquisadores, no entanto, foram os elaborados pedidos de permissão do aplicativo, incluindo câmera e acesso biométrico, alertas do sistema, consulta de pacotes e a capacidade de desativar o bloqueio. Essas permissões são muito maiores do que as exigidas pelo aplicativo Aegis original e não foram divulgadas no perfil do Google Play do aplicativo. Eles também colocam os usuários em risco de roubo de dados financeiros e outros ataques de acompanhamento, mesmo que o downloader não tenha usado o aplicativo. Embora o falso aplicativo 2FA tenha sido removido da Play Store, o Pradeo avisa os usuários que instalaram o aplicativo para removê-lo manualmente imediatamente.
