Приложение для 2FA-кодов с банковским трояном скачали из Google Play 10 000 раз
Программа собирала список установленного на устройстве софта и геопозицию, загружало сторонние приложения под видом обновлений и запрашивало слишком много разрешений.
Исследователи из компании Pradeo нашли в Google Play приложение, заражённое банковским трояном. За 15 дней его загрузили свыше 10 000 раз.
Зловред маскировался под приложение для получения кодов двухэтапной аутентификации. 2FA Authenticator действительно выполнял заявленные функции — для этого хакеры скопировали решение с открытым исходным кодом.
Но в фоне 2FA Authenticator собирал список установленных на смартфоне приложений и геолокацию. Для этого приложение запрашивает ряд разрешений вроде доступа к камере и удержания устройства во включённом состоянии.
Вредонос также устанавливал сторонние приложения под видом обновлений. Как выяснили в Pradeo, на смартфон жертв инсталлировался троян Vultur. Он записывает экран, чтобы зафиксировать пароли и идентификаторы банковских клиентов.
Исследователи сообщили о находке в Google, приложение удалено из магазина 27 января. Но в сторонних источниках зловред ещё доступен.