MFA-Android-App heruntergefahren, nachdem 10.000 Geräte mit Malware infiziert wurden

Eine Multi-Faktor-Authentifizierungs-App, die einen Android-Banking-Trojaner enthält, wurde kürzlich aus dem Google Play Android Store entfernt. Laut Sicherheitsforschern wurde die App jedoch vor der Deaktivierung etwa 10.000 Mal heruntergeladen.

Die Anwendung hielt, was sie verspricht – sie enthielt MFA-Funktionalität, wie es zu ihrem einfachen Namen passen würde – „2FA Authenticator“. Es enthielt jedoch auch den Vultur-Banking-Trojaner – einen Android-Stealer, der Banking-Anmeldeinformationen von den Telefonen der Opfer stehlen kann.

Vultur-Malware in funktionaler MFA-App versteckt

Das Problem mit der App wurde von einem Forschungsteam des Sicherheitsunternehmens Pradeo behandelt. Laut ihrem Bericht haben sich die Hacker, die Vultur über die App verbreiten, die Mühe gemacht, eine funktionierende, legitim aussehende MFA-App zu erstellen, nur damit sie ein überzeugendes Mittel haben, um den Infostealer-Trojaner zu verbreiten.

Laut Pradeo war der Grund, warum die App es überhaupt in den Google Play Store geschafft und zwei Wochen lang überlebt hat, die Verwendung eines Open-Source-Authentifizierungscodes, der zum Aegis Authenticator-Projekt gehört. Die Tatsache, dass die App ein funktionierendes MFA-Modul enthielt, trug dazu bei, sie gut zu tarnen und eine Weile unbemerkt zu bleiben.

Vultur war etwas Besonderes, weil es das erste RAT war, das sich von der üblichen HTML-Überlagerung entfernte, die in ähnlichen Stealern verwendet wurde, und nur aufzeichnete, was auf dem Bildschirm des Geräts passiert. Die Vultur-Malware wurde erstmals Anfang 2021 entdeckt.

Vultur-Laden App fragt nach zusätzlichen Privilegien

Die jetzt entfernte bösartige MFA-App enthielt nicht nur den Banking-Trojaner, sondern bat auch um Berechtigungen, die weit über das hinausgingen, was auf der Store-Seite offengelegt wurde. Einmal erteilt, würden diese Berechtigungen den Angreifern hinter der Malware ermöglichen, den GPS-Standort des Opfers zu verfolgen, andere Apps herunterzuladen und sogar die Kontrolle über das gesamte Gerät zu übernehmen.

Allen 10.000 Benutzern, die die bösartige App heruntergeladen haben, wird empfohlen, sie so schnell wie möglich zu entfernen, um das Risiko von Daten- und Anmeldedatendiebstahl zu minimieren.