L'application Android MFA supprimée après avoir infecté 10 000 appareils avec des logiciels malveillants
Une application d'authentification multifacteur contenant un cheval de Troie bancaire Android a récemment été retirée de la boutique Google Play Android. Cependant, selon des chercheurs en sécurité, l'application a été téléchargée environ 10 000 fois avant le retrait.
L'application a fait ce qu'elle disait sur l'étain - elle contenait la fonctionnalité MFA, comme le ferait son nom simple - "2FA Authenticator". Cependant, il contenait également le cheval de Troie bancaire Vultur - un voleur Android qui peut récupérer les identifiants de connexion bancaire sur les téléphones des victimes.
Logiciel malveillant Vultur caché dans l'application MFA fonctionnelle
Le problème avec l'application a été couvert par une équipe de recherche de la société de sécurité Pradeo. Selon leur rapport, les pirates distribuant Vultur via l'application se sont efforcés de créer une application MFA fonctionnelle et d'apparence légitime, juste pour avoir un véhicule convaincant pour distribuer le cheval de Troie infostealer.
Selon Pradeo, la raison pour laquelle l'application a même réussi à arriver sur le Google Play Store et à survivre pendant deux semaines était l'utilisation d'un code d'authentification open source appartenant au projet Aegis Authenticator. Le fait que l'application ait un module MFA fonctionnel à l'intérieur a aidé à bien le déguiser et à l'aider à rester inaperçu pendant un certain temps.
Vultur était spécial car c'était le premier RAT à s'éloigner de la superposition HTML habituelle utilisée dans des voleurs similaires et à enregistrer simplement ce qui se passe sur l'écran de l'appareil. Le malware Vultur a été repéré pour la première fois au début de 2021.
L'application Vultur-Laden demande des privilèges supplémentaires
En plus de contenir le cheval de Troie bancaire, l'application MFA malveillante désormais supprimée demandait également des privilèges qui dépassaient de loin ce qui était divulgué sur la page du magasin. Une fois accordées, ces autorisations permettraient aux mauvais acteurs derrière le logiciel malveillant de suivre la position GPS de la victime, de télécharger d'autres applications et même de prendre le contrôle de l'ensemble de l'appareil.
Il est conseillé aux 10 000 utilisateurs qui ont téléchargé l'application malveillante de s'en débarrasser dès que possible, afin de minimiser les risques de vol de données et d'identifiants.