La aplicación de Android MFA se retiró después de infectar 10K dispositivos con malware
Una aplicación de autenticación de múltiples factores que contiene un troyano bancario de Android se eliminó recientemente de la tienda de Android Google Play. Sin embargo, según los investigadores de seguridad, la aplicación se descargó unas 10 mil veces antes del desmantelamiento.
La aplicación hizo lo que decía en la lata: contenía la funcionalidad MFA, como encajaría con su nombre simple: "2FA Authenticator". Sin embargo, también contenía el troyano bancario Vultur, un ladrón de Android que puede robar las credenciales de inicio de sesión bancarias de los teléfonos de las víctimas.
Malware Vultur oculto en la aplicación MFA funcional
El problema con la aplicación fue cubierto por un equipo de investigación de la empresa de seguridad Pradeo. Según su informe, los piratas informáticos que distribuyen Vultur a través de la aplicación se esforzaron por crear una aplicación MFA que funcionara y pareciera legítima, solo para tener un vehículo convincente para distribuir el troyano ladrón de información.
Según Pradeo, la razón por la que la aplicación incluso logró aparecer en Google Play Store en primer lugar y sobrevivir durante dos semanas fue el uso de un código de autenticación de fuente abierta que pertenece al proyecto Aegis Authenticator. El hecho de que la aplicación tuviera un módulo MFA en funcionamiento en su interior ayudó a disfrazarlo bien y a pasar desapercibido por un tiempo.
Vultur fue especial porque fue la primera RAT en alejarse de la superposición de HTML habitual utilizada en ladrones similares y simplemente registrar lo que sucede en la pantalla del dispositivo. El malware Vultur se detectó por primera vez a principios de 2021.
La aplicación Vultur-Laden solicita privilegios adicionales
Además de contener el troyano bancario, la aplicación MFA maliciosa ahora eliminada también solicitó privilegios que excedieron con creces lo que se reveló en la página de la tienda. Una vez otorgados, esos permisos permitirían a los malos actores detrás del malware rastrear la ubicación GPS de la víctima, descargar otras aplicaciones e incluso tomar el control de todo el dispositivo.
Se recomienda a los 10 000 usuarios que descargaron la aplicación maliciosa que la eliminen lo antes posible para minimizar los riesgos de robo de datos y credenciales.