Tras estar disponible durante más de dos semanas, una aplicación maliciosa de doble factor de autenticación (2FA) ha sido eliminada de Google Play, pero no sin antes haber sido descargada más de 10.000 veces.
La aplicación, que es totalmente funcional como autentificador 2FA, viene cargada con el malware Vultur Stealer que tiene como objetivo los datos financieros del usuario.
Los investigadores de Pradeo recomiendan a los usuarios que tengan instalada la aplicación maliciosa, de nombre «2FA Authenticator», que la eliminen inmediatamente de sus dispositivos, ya que siguen estando en peligro, tanto por el robo de datos bancarios como por otros posibles ataques gracias a los amplios permisos de la aplicación.
Los ciberdelincuentes desarrollaron una aplicación funcional y convincente, utilizando el código de la aplicación de código abierto Aegis, pero modificada con complementos maliciosos. Esto ayudó a que se propagara a través de Google Play sin ser detectada, según un informe de Pradeo publicado el jueves.
La solicitud de permisos elevados permite a los atacantes realizar varias funciones adicionales, como acceder a la ubicación del usuario, pudiendo realizar ataques en función de la zona geográfica, desactivar el bloqueo de pantalla o la contraseña, descarga e instalación de aplicaciones de terceros, etc.
El equipo de Pradeo informa que, si bien sus investigadores se pusieron en contacto con Google para facilitar sus hallazgos, la empresa se demoró casi 15 días en desactivar la aplicación.
Referencias
https://threatpost.com/2fa-app-banking-trojan-google-play/178077/
https://blog.pradeo.com/vultur-malware-dropper-google-play
Lo que no entiendo es como estas apps llegan a publicarse en Play Google ¿no les pasan un análisis antivirus con heurística antes de aprobarlas?
y lo de los 15 días en quitarla vergonzoso