Android’deki sahte bir iki faktörlü kimlik doğrulama uygulaması aslında finansal verileri ve diğer kişisel bilgileri çalabilecek bir bankacılık truva atını gizliyordu. İndiren 10.000 kişiden biriyseniz, hemen ondan kurtulmanız gerekiyor.
Pradeo’dan araştırmacılar, uygun bir şekilde 2FA Authenticator olarak adlandırılan uygulamayı keşfetti. Bir yılı aşkın süredir Android telefonlara bulaşan Vultur adlı bir truva atı kurar.
Pradeo’dan Roxane Suau, “Analizimiz, dropper’in, kullanıcıların bankacılık bilgilerini çalmak için finansal hizmetleri hedefleyen Vultur adlı bir kötü amaçlı yazılımı otomatik olarak yüklediğini ortaya çıkardı” dedi.
Görünüşe göre uygulama, meşru bir 2FA aracı gibi görünecek şekilde iyi tasarlanmış . Pradeo’ya göre, “Meşru görünmek ve gerçek bir hizmet sunmak için geliştirildi. Bunu yapmak için geliştiriciler, kötü amaçlı kod enjekte ettikleri resmi Aegis kimlik doğrulama uygulamasının açık kaynak kodunu kullandılar.”
Kötü amaçlı yazılım iki aşamada çalışır. İlk olarak, kullanıcının profilini çıkarır. Saldırganların eylemlerini hedeflemesine olanak tanıyan, kullanıcının uygulama listelerini ve konum verilerini toplar ve gönderir. Bu aşamada, tuş kilidini ve ilgili parola güvenliğini devre dışı bırakacak ve güncelleme kılığında diğer üçüncü taraf uygulamalarını indirecektir.
İkinci aşama için araştırmacılar, saldırının, uygulamanın kullanıcıları hakkında bulduğu bilgilere göre koşullandırıldığını buldu. Bazı koşullar karşılandığında, dropper, kimlik bilgilerini ve finansal bilgileri çalmak için öncelikle çevrimiçi bankacılık arayüzlerini hedefleyen kötü amaçlı yazılım olan Vultur’u yükler ve bu açıkça korkutucudur.
Bu, hafife alınacak bir kötü amaçlı yazılım parçası değildir. Bu uygulamayı yüklediyseniz (Google Play’den kaldırılmıştır, ancak bazı üçüncü taraf uygulama mağazalarında hala mevcuttur), hemen silmeniz gerekir. Kapatmaya çalıştığınızda uygulama kendini yeniden başlatmaya başlarsa, telefonunuzu yeniden başlatın ve silin.
