一個惡意的雙因素認證(2FA)應用程序在上架兩個多星期之后，已經從Google Play中刪除了。但在此之前它已經被下載了超過10,000次。作為一款2FA認證器，這款應用功能齊全，但卻加載了Vultur竊取器惡意軟件。該軟件以用戶的金融數據為攻擊目標，并可能對其造成重大破壞。

Pradeo公司的研究人員建議使用該惡意應用程序(名為 "2FA認證器")的用戶立即從他們的設備中刪除該應用程序，因為他們的信息很可能會被攻擊。該應用程序所獲得的其他權限也可能會帶來其他的攻擊。

威脅者開發了一個可控制的、偽裝精致的應用程序來投放惡意軟件，并且使用開源的Aegis認證代碼注入惡意的附加組件。根據Pradeo周四發布的一份報告，這些特點有助于它通過Google Play傳播而不易被發現。

報告補充說："因此，該惡意應用程序成功地偽裝成了一個認證工具，這樣可以確保它不會輕易被人發現。”

Vultur銀行木馬獲取了更多權限

一旦應用程序被下載，該應用程序就會安裝Vultur銀行木馬，它可以竊取被攻擊設備上的銀行數據，除此之外，其實還可以做很多事情。

Vultur遠程訪問特洛伊木馬(RAT)惡意軟件在去年3月首次被ThreatFabric的分析師發現，它是第一個使用鍵盤記錄和屏幕記錄來盜竊銀行數據的軟件，該功能使該組織能夠自動收集用戶的憑證。

ThreatFabric當時說，攻擊者沒有選擇使用我們通常在其他安卓銀行木馬中看到的HTML覆蓋策略，這種方法通常需要攻擊者花費更多的時間和精力，才可以從用戶那里竊取到信息。相反，他們選擇使用了更為簡單的記錄屏幕上顯示的內容的方法，同樣能夠有效地獲得相同的結果。

Pradeo團隊說，這個騙局中使用的2FA認證器除了需要Google Play資料中所標注的設備權限外，它還要求更多權限。

除了具有銀行木馬的功能外，獲取的各種高級權限能夠使攻擊者執行更多的功能。例如，報告解釋說，訪問用戶的位置數據，這樣就可以針對特定地區的用戶進行攻擊;禁用設備鎖和密碼安全功能、下載第三方應用程序、以及接管設備的控制權。

Pradeo發現了該惡意的2FA軟件的另一個攻擊方式，它通過獲取SYSTEM_ALERT_WINDOW權限，使該應用能夠改變其他移動應用的界面。正如谷歌自己解釋的那樣，很少有應用程序使用這個權限;這些窗口是為了與用戶進行系統級互動。

一旦設備被完全破壞，該應用程序就會安裝Vultur，這是一種先進的、相對較新的惡意軟件，主要是針對網上銀行界面進行攻擊，竊取用戶的憑證和其他重要的財務信息。

Pradeo的團隊報告說，雖然研究人員向Google Play提交了他們的披露信息，然而那些加載銀行木馬的惡意2FA Authenticator應用程序仍然在15天內是可用的。

本文翻譯自：https://threatpost.com/2fa-app-banking-trojan-google-play/178077/如若轉載，請注明原文地址。