装有银行木马的双因素认证应用通过Google Play攻击了一万名用户

一个恶意的银行因素应用用户双因素认证(2FA)应用程序在上架两个多星期之后，已经从Google Play中删除了。木马但在此之前它已经被下载了超过10,认证000次。作为一款2FA认证器，通过这款应用功能齐全，攻击但却加载了Vultur窃取器恶意软件。银行因素应用用户该软件以用户的木马金融数据为攻击目标，并可能对其造成重大破坏。认证

Pradeo公司的通过研究人员建议使用该恶意应用程序(名为 "2FA认证器")的用户立即从他们的设备中删除该应用程序，因为他们的攻击信息很可能会被攻击。该应用程序所获得的银行因素应用用户其他权限也可能会带来其他的攻击。

威胁者开发了一个可控制的木马、伪装精致的认证应用程序来投放恶意软件，并且使用开源的通过Aegis认证代码注入恶意的附加组件。根据Pradeo周四发布的攻击一份报告，这些特点有助于它通过Google Play传播而不易被发现。

报告补充说："因此，该恶意应用程序成功地伪装成了一个认证工具，这样可以确保它不会轻易被人发现。”

Vultur银行木马获取了更多权限

一旦应用程序被下载，该应用程序就会安装Vultur银行木马，源码库它可以窃取被攻击设备上的银行数据，除此之外，其实还可以做很多事情。

Vultur远程访问特洛伊木马(RAT)恶意软件在去年3月首次被ThreatFabric的分析师发现，它是第一个使用键盘记录和屏幕记录来盗窃银行数据的软件，该功能使该组织能够自动收集用户的凭证。

ThreatFabric当时说，攻击者没有选择使用我们通常在其他安卓银行木马中看到的HTML覆盖策略，这种方法通常需要攻击者花费更多的时间和精力，才可以从用户那里窃取到信息。相反，他们选择使用了更为简单的记录屏幕上显示的内容的方法，同样能够有效地获得相同的结果。

Pradeo团队说，这个骗局中使用的2FA认证器除了需要Google Play资料中所标注的设备权限外，它还要求更多权限。

除了具有银行木马的功能外，获取的各种高级权限能够使攻击者执行更多的云服务器功能。例如，报告解释说，访问用户的位置数据，这样就可以针对特定地区的用户进行攻击;禁用设备锁和密码安全功能、下载第三方应用程序、以及接管设备的控制权。

Pradeo发现了该恶意的2FA软件的另一个攻击方式，它通过获取SYSTEM_ALERT_WINDOW权限，使该应用能够改变其他移动应用的界面。正如谷歌自己解释的那样，很少有应用程序使用这个权限;这些窗口是为了与用户进行系统级互动。

一旦设备被完全破坏，该应用程序就会安装Vultur，这是一种先进的、相对较新的恶意软件，主要是针对网上银行界面进行攻击，窃取用户的凭证和其他重要的财务信息。

Pradeo的WordPress模板团队报告说，虽然研究人员向Google Play提交了他们的披露信息，然而那些加载银行木马的恶意2FA Authenticator应用程序仍然在15天内是可用的。

本文翻译自：https://threatpost.com/2fa-app-banking-trojan-google-play/178077/如若转载，请注明原文地址。