Après avoir été disponible pendant plus de deux semaines, une application malveillante d’authentification à deux facteurs (2FA) a été retirée de Google Play, mais pas avant d’avoir été téléchargée plus de 10 000 fois.

L’application, qui est entièrement fonctionnelle en tant qu’authentificateur 2FA, est chargée du malware Vultur Stealer qui cible les données financières de l’utilisateur.

Les chercheurs de Pradeo recommandent aux utilisateurs qui ont installé l’application malveillante, nommée « 2FA Authenticator », de la supprimer immédiatement de leurs appareils, car ils sont toujours en danger, tant pour le vol de données bancaires que pour d’autres attaques possibles grâce aux autorisations étendues de l’application.

Les cybercriminels ont développé une application fonctionnelle et convaincante, en utilisant le code de l’application open source Aegis, mais modifiée par des modules complémentaires malveillants. Cela l’a aidé à se propager dans Google Play sans être détecté, selon un rapport de Pradeo publié jeudi.

La demande d’autorisations élevées permet aux attaquants d’exécuter un certain nombre de fonctions supplémentaires, telles que l’accès à la localisation de l’utilisateur, la possibilité d’effectuer des attaques géociblées, la désactivation du verrouillage de l’écran ou du mot de passe, le téléchargement et l’installation d’apps tierces, etc.

L’équipe de Pradeo rapporte que, bien que leurs chercheurs aient contacté Google pour faciliter leurs découvertes, la société a mis près de 15 jours pour désactiver l’application.

Plus d’information:
https://threatpost.com/2fa-app-banking-trojan-google-play/178077/
https://blog.pradeo.com/vultur-malware-dropper-google-play