تیم امنیتی «پرادئو» اپلیکیشن اندروید دارای تروجان جدیدی را کشف کرد که 2FA Authenticator نام دارد و گوگل در حالی آن را حذف کرده که تاکنون 10 هزار نفر نسبت به نصب آن اقدام کردهاند.
طبق توضیحات نسخه ذخیره شده این برنامه در گوگل پلی، توسعهدهنده آن ادعا کرده که این اپلیکیشن یک «ابزار احراز هویت امن برای سرویسهای آنلاین کاربران» ارائه میکند و شامل ویژگیهایی مانند «سیستم رمزگذاری مناسب» و «پشتیبانگیری» میشود که در برنامههای احراز هویت فعلی وجود ندارند. همچنین، این اپلیکیشن ادعا داشت که از الگوریتمهای رمز پویا HOTP و TOTP پشتیبانی میکند و به عنوان راهی برای وارد کردن پروتکلهای دیگر احراز هویت و میزبانی آنها در یک مکان به بازار منتشر شده است.
با این وجود، به نظر میرسد هدف اصلی برنامه محافظت از دادهها کاربران نبوده و برعکس قصد سرقت آنها را داشته است. به گفته پرادئو، این اپلیکیشن به عنوان یک قطره چکان برای بدافزار طراحی شده عمل میکند تا پس از نصب اطلاعات مالی کاربران را استخراج کند.
محققان میگویند:
اپلیکیشن به گونهای طراحی شده که ظاهری قانونی و ارائه خدمات واقعی را نشان دهد. برای انجام این کار، توسعهدهندگان از کد منبع باز اپلیکیشن رسمی احراز هویت Aegis استفاده کرده و کدهای مخرب خود را به آن اضافه کردهاند.
نحوه عملکرد این اپلیکیشن اندروید
اپلیکیشن 2FA Authenticator در مرحله اول حمله خود، طیف وسیعی از مجوزها مانند دسترسی به دوربین و بیومتریک و امکان دستکاری هشدارهای سیستم را از کاربران درخواست میکند. این مجوزهای به بدافزار اجازه میدهند تا اقداماتی مانند جمعآوری دادهها برای حملات هدفمند، غیرفعال کردن امنیت قفل و رمز عبور، دانلود برنامههای دیگر و ایجاد پنجرههای جدید روی سایر پنجرههای در حال اجرا موبایل را انجام دهد.
پس از دریافت مجوزهای لازم، بدافزار نسبت به نصب Vultur اقدام میکند که یک تروجان دسترسی از راه دور (RAT) است و از طریق ضبط صفحه نمایش و ذخیره کردن کلیدهای فشرده شده، برای دسترسی به حسابهای بانکی و خدمات مالی استفاده میکند.
تیم پرادئو در گزارش جدید خود توضیح داد که گوگل پس از 15 روز این اپلیکیشن را حذف کرده است و تاکنون بیش از 10 هزار نفر آن را نصب کردهاند.