Приложение из Google Play Store воровало финансовую информацию

На этой неделе в Google получили тревожный звонок по поводу безопасности Google Play Store. Вредоносное приложение для Android оставалось доступным для загрузки в официальном магазине компании в течение 15 дней. За это время более 10 тыс. человек установили приложение, думая, что это законное решение для двухфакторной аутентификации.

Приложение из Google Play Store воровало финансовую информацию. Фото: Pexels

Как сообщает ZDNet , компания Pradeo, занимающаяся кибербезопасностью, обнаружила вредоносное приложение , которое называется 2FA Authenticator. На странице приложения в Google Play Store (которое, к счастью, больше не доступно) оно описывается как «безопасный аутентификатор для ваших онлайн-сервисов, а также включает некоторые функции, отсутствующие в существующих приложениях для аутентификации, такие как правильное шифрование и резервное копирование». Однако это было лишь прикрытием для реальной цели приложения: кражи вашей финансовой информации.

Существует законное приложение под названием Aegis Authenticator , которое предлагает управлять вашими токенами двухэтапной проверки. Оно бесплатно и с открытым исходным кодом, поэтому разработчики 2FA Authenticator решили воспользоваться всеми преимуществами. Они скопировали открытый исходный код, используемый для Aegis, и внедрили в него вредоносный код. Конечным результатом является приложение, способное пройти проверку безопасности Google Play Store, но которое может стать вредоносным после установки на телефон или планшет пользователя Android.

После установки приложение запрашивает «критические разрешения» для устройства, что позволяет ему затем выполнять ряд задач, включая отключение блокировки клавиатуры и защиты паролем, загрузку сторонних приложений и обновлений, продолжение работы в фоновом режиме даже после выхода пользователя из приложения и возможность размещать наложение на другие интерфейсы приложений. ПО также получало доступ к данным пользователя.

Если 2FA Authenticator обнаруживает, что устройство соответствует нескольким условиям, троян удаленного доступа (RAT) под названием Vultur загружается и устанавливается без ведома пользователя. Vultur использует запись экрана и кейлоггинг для записи данных, введенных в банковские приложения, что позволяет преступникам, стоящим за этим приложением, опустошать банковские счета или криптовалютные кошельки .

Исследователи советуют немедленно удалить его и связаться с любыми финансовыми/банковскими службами, к которым вы получаете доступ через устройство Android, чтобы убедиться, что ваши учетные записи не были скомпрометированы.

Startpack подготовил список инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.

Статьи по теме