Kibernetinio saugumo tyrėjai padėjo iš „Google Play“parduotuvės pašalinti netikrą dviejų veiksnių autentifikavimo (2FA) programą, kuri slepia gerai žinomą banko kredencialus vagiančią kenkėjišką programą.
Programėlę, pavadintą 2FA Authenticator, aptiko apsaugos firmos Pradeo apsaugos žvalgai. Ji užsimaskavo kaip teisėta 2FA programa ir panaudojo viršelį, kad išstumtų palyginti naują, bet itin pavojingą kenkėjišką programą „Vultur“, skirtą banko kredencialams pavogti.
Savo ataskaitoje tyrėjai pažymi, kad visiškai veikianti 2FA autentifikavimo programa buvo pašalinta iš „Google Play“sausio 27 d., po to, kai ji buvo pasiekiama parduotuvėje daugiau nei dvi savaites, kur buvo atsiųsta daugiau nei 10 000 kartų.
Tyrėjų teigimu, grėsmės veikėjai sukūrė programą naudodami autentišką atvirojo kodo Aegis autentifikavimo programą, prieš įtraukdami į ją kenkėjiškų funkcijų.
Pradeo teigia, kad netikros programos sudėtinga apgaulė leido jai sėkmingai užmaskuoti save kaip autentifikavimo įrankį ir praeiti atsitiktiniam naudotojo patikrinimui. Tačiau tyrėjus gąsdino sudėtingi programos prašymai suteikti leidimus, įskaitant prieigą prie fotoaparato ir biometrinių duomenų, sistemos įspėjimus, paketo užklausas ir galimybę išjungti klavišų užraktą.
Šie leidimai yra daug didesni, nei reikalaujama pradinėje „Aegis“programoje, ir jie nebuvo atskleisti programos „Google Play“profilyje. Be to, naudotojams kyla pavojus dėl finansinių duomenų vagysčių ir kitų tolesnių atakų, net jei atsisiuntimo programa nenaudojo programos.
Nors netikra 2FA programa buvo pašalinta iš „Play“parduotuvės, „Pradeo“įspėja programėlę įdiegusius naudotojus nedelsiant ją pašalinti rankiniu būdu.