Một ứng dụng xác thực hai yếu tố giả mạo trên Android thực sự đang che giấu một trojan ngân hàng có thể lấy cắp dữ liệu tài chính và thông tin cá nhân khác. Nếu bạn là một trong số 10.000 người đã tải xuống, bạn cần phải loại bỏ nó ngay bây giờ.
Các nhà nghiên cứu từ Pradeo đã phát hiện ra ứng dụng này, được đặt tên khéo léo là 2FA Authenticator. Nó cài đặt một loại trojan có tên là Vultur, đã lây nhiễm vào điện thoại Android trong hơn một năm.
Roxane Suau từ Pradeo cho biết, “Phân tích của chúng tôi cho thấy ống nhỏ giọt tự động cài đặt phần mềm độc hại có tên Vultur, nhằm vào các dịch vụ tài chính để lấy cắp thông tin ngân hàng của người dùng”.
Rõ ràng, ứng dụng được thiết kế tốt để trông giống như một công cụ 2FA hợp pháp . Theo Pradeo, “Nó đã được phát triển để trông hợp pháp và cung cấp một dịch vụ thực sự. Để làm như vậy, các nhà phát triển của nó đã sử dụng mã nguồn mở của ứng dụng xác thực Aegis chính thức mà họ đã tiêm mã độc vào ”.
Phần mềm độc hại hoạt động theo hai giai đoạn. Đầu tiên, nó lập hồ sơ người dùng. Nó thu thập và gửi danh sách ứng dụng và dữ liệu vị trí của người dùng, cho phép những kẻ tấn công nhắm mục tiêu hành động của chúng. Trong giai đoạn này, nó sẽ vô hiệu hóa khóa phím và mọi bảo mật bằng mật khẩu liên quan và tải xuống các ứng dụng bên thứ ba khác được ngụy trang dưới dạng bản cập nhật.
Đối với giai đoạn hai, các nhà nghiên cứu phát hiện ra rằng cuộc tấn công phụ thuộc vào thông tin mà ứng dụng tìm thấy về người dùng của nó. Khi một số điều kiện được đáp ứng, ống nhỏ giọt sẽ cài đặt Vultur, phần mềm độc hại chủ yếu nhắm mục tiêu vào các giao diện ngân hàng trực tuyến để lấy cắp thông tin xác thực và thông tin tài chính, điều này rõ ràng là đáng sợ.
Đây không phải là một phần mềm độc hại được xem nhẹ. Nếu bạn đã cài đặt ứng dụng này (đã bị xóa khỏi Google Play nhưng vẫn có sẵn trên một số cửa hàng ứng dụng của bên thứ ba), bạn cần xóa nó ngay lập tức. Nếu ứng dụng bắt đầu tự khởi chạy lại khi bạn cố đóng nó, hãy khởi động lại điện thoại và xóa nó.