装有银行木马的双因素认证应用通过Google Play攻击了一万名用户

安全 黑客攻防
Vultur木马窃取了银行凭证,但却要求获得更多权限,这样就可以进行更广泛的破坏。

一个恶意的双因素认证(2FA)应用程序在上架两个多星期之后,已经从Google Play中删除了。但在此之前它已经被下载了超过10,000次。作为一款2FA认证器,这款应用功能齐全,但却加载了Vultur窃取器恶意软件。该软件以用户的金融数据为攻击目标,并可能对其造成重大破坏。

Pradeo公司的研究人员建议使用该恶意应用程序(名为 "2FA认证器")的用户立即从他们的设备中删除该应用程序,因为他们的信息很可能会被攻击。该应用程序所获得的其他权限也可能会带来其他的攻击。

威胁者开发了一个可控制的、伪装精致的应用程序来投放恶意软件,并且使用开源的Aegis认证代码注入恶意的附加组件。根据Pradeo周四发布的一份报告,这些特点有助于它通过Google Play传播而不易被发现。

报告补充说:"因此,该恶意应用程序成功地伪装成了一个认证工具,这样可以确保它不会轻易被人发现。”

Vultur银行木马获取了更多权限

一旦应用程序被下载,该应用程序就会安装Vultur银行木马,它可以窃取被攻击设备上的银行数据,除此之外,其实还可以做很多事情。

Vultur远程访问特洛伊木马(RAT)恶意软件在去年3月首次被ThreatFabric的分析师发现,它是第一个使用键盘记录和屏幕记录来盗窃银行数据的软件,该功能使该组织能够自动收集用户的凭证。

ThreatFabric当时说,攻击者没有选择使用我们通常在其他安卓银行木马中看到的HTML覆盖策略,这种方法通常需要攻击者花费更多的时间和精力,才可以从用户那里窃取到信息。相反,他们选择使用了更为简单的记录屏幕上显示的内容的方法,同样能够有效地获得相同的结果。

Pradeo团队说,这个骗局中使用的2FA认证器除了需要Google Play资料中所标注的设备权限外,它还要求更多权限。

除了具有银行木马的功能外,获取的各种高级权限能够使攻击者执行更多的功能。例如,报告解释说,访问用户的位置数据,这样就可以针对特定地区的用户进行攻击;禁用设备锁和密码安全功能、下载第三方应用程序、以及接管设备的控制权。

Pradeo发现了该恶意的2FA软件的另一个攻击方式,它通过获取SYSTEM_ALERT_WINDOW权限,使该应用能够改变其他移动应用的界面。正如谷歌自己解释的那样,很少有应用程序使用这个权限;这些窗口是为了与用户进行系统级互动。

一旦设备被完全破坏,该应用程序就会安装Vultur,这是一种先进的、相对较新的恶意软件,主要是针对网上银行界面进行攻击,窃取用户的凭证和其他重要的财务信息。

Pradeo的团队报告说,虽然研究人员向Google Play提交了他们的披露信息,然而那些加载银行木马的恶意2FA Authenticator应用程序仍然在15天内是可用的。

本文翻译自:https://threatpost.com/2fa-app-banking-trojan-google-play/178077/如若转载,请注明原文地址

责任编辑:姜华 来源: 嘶吼网
相关推荐

2011-08-15 09:31:55

2016-03-01 11:50:12

2011-08-25 21:38:32

2022-04-11 12:45:31

病毒软件木马网络攻击

2015-09-23 16:03:41

2012-07-12 17:37:57

2022-08-01 00:08:03

双因素认证2FA

2012-03-30 17:37:45

Google Play漏洞

2021-04-25 18:17:34

Google开发人员Play Store

2022-04-12 11:51:24

恶意应用木马程序TeaBot

2021-02-07 10:15:25

数据泄露约会网站MeetMindful

2020-12-07 10:21:39

漏洞Google Play攻击

2019-11-28 18:47:04

Google黑客网络安全

2018-07-18 06:05:56

2022-02-23 11:28:05

Windows 11WSAPlay Store

2021-07-27 05:49:04

双因素验证MFA网络安全

2022-05-09 15:46:19

Google应用程序俄罗斯

2012-03-31 09:29:17

应用商店App StoreGoogle Play

2020-07-14 13:24:35

木马Ursnif恶意软件

2020-09-30 11:22:16

帐户安全
点赞
收藏

51CTO技术栈公众号