2FA Authenticator esconde o trojan Vultur. Apague já esta app do seu smartphone Android

Francisca Andrade

31 jan 2022 12:08

Este artigo tem mais de 2 anos

A aplicação 2FA Authenticator foi concebida para se parecer com um serviço legítimo e estava a ser utilizada por cibercriminosos para instalar o trojan Vultur nos smartphones das vítimas sem que estas se apercebessem.

Apesar de todas as medidas de segurança implementadas pela Google na Play Store há certas aplicações maliciosas que se conseguem infiltrar na loja digital. A 2FA Authenticator é uma delas e, ao longo dos 15 dias em que esteve disponível, foi instalada mais de 10.000 de vezes.

De acordo com os investigadores da Pradeo, a aplicação, concebida para se parecer com um serviço legítimo, estava a ser utilizada por cibercriminosos para instalar malware nos equipamentos das vítimas sem que estas se apercebessem.

Os investigadores da empresa de cibersegurança explicam que, para criarem a 2FA Authenticator, os cibercriminosos usaram o código open-source de uma aplicação de autenticação legítima, chamada Aegis Authenticator, injetando-lhe depois código malicioso.

O método de ataque da aplicação decorre em duas fases. Na primeira, a 2FA Authenticator recolhe de forma sub-reptícia um vasto conjunto de dados acerca das vítimas. Para tal, a aplicação recorre a uma série de permissões que não são listadas na sua página na Play Store.

As permissões, em combinação com o código malicioso executado pela aplicação, permitiam recolher dados acerca das aplicações instaladas pela vítima, assim como da sua localização, e enviá-los para os cibercriminosos.

A aplicação, que continuava a funcionar em segundo plano mesmo quando era fechada, permitia que os atacantes desativassem os métodos de segurança usados para bloquear o equipamento infetado, fazendo também o download de outras aplicações disfarçadas de atualizações.

A segunda fase do ataque dependia da informação recolhida acerca das vítimas. Se determinadas condições fossem preenchidas, a aplicação instalava o trojan Vultur nos equipamentos infetados. O software malicioso é capaz de roubar credenciais e informação bancária das vítimas.

Após descobrirem a aplicação maliciosa, os investigadores da Pradeo alertaram a Google, que a removeu depois da sua loja digital. Se a tem instalada no seu smartphone deve removê-la imediatamente e analisar o equipamento com uma solução de segurança.