Εφαρμογή 2FA φορτωμένη με τραπεζικό Trojan μολύνει 10K θύματα μέσω του Google Play

[nnn]

Αφού παρέμεινε διαθέσιμη για περισσότερες από δύο εβδομάδες, μια κακόβουλη εφαρμογή ελέγχου ταυτότητας δύο παραγόντων (2FA) αφαιρέθηκε από το Google Play - αλλά όχι πριν κατέβει περισσότερες από 10.000 φορές. Η εφαρμογή, η οποία είναι πλήρως λειτουργική ως αυθεντικοποιητής 2FA, έρχεται φορτωμένη με το κακόβουλο λογισμικό Vultur stealer που στοχεύει και κατακτά οικονομικά δεδομένα.

Οι χρήστες με την κακόβουλη εφαρμογή, η οποία ονομάζεται ευθέως "2FA Authenticator", συμβουλεύονται από τους ερευνητές της Pradeo να τη διαγράψουν αμέσως από τη συσκευή τους, καθώς εξακολουθούν να διατρέχουν κίνδυνο - τόσο από την κλοπή τραπεζικών συνδέσεων όσο και από άλλες επιθέσεις που κατέστησαν δυνατές οι εκτεταμένες υπερεξουσιοδοτήσεις της εφαρμογής.

Οι απειλητικοί φορείς ανέπτυξαν μια λειτουργική και πειστική εφαρμογή για να μεταμφιέσουν το dropper του κακόβουλου λογισμικού, χρησιμοποιώντας κώδικα αυθεντικοποίησης Aegis ανοιχτού κώδικα που εγχέεται με κακόβουλα πρόσθετα. Αυτό το βοήθησε να εξαπλωθεί μέσω του Google Play χωρίς να εντοπιστεί, σύμφωνα με έκθεση της Pradeo που δημοσιεύθηκε την Πέμπτη.

"Ως αποτέλεσμα, η εφαρμογή μεταμφιέζεται με επιτυχία ως εργαλείο ελέγχου ταυτότητας, γεγονός που διασφαλίζει ότι διατηρεί χαμηλό προφίλ", προστίθεται στην έκθεση.

Μόλις κατέβει, η εφαρμογή εγκαθιστά το Vultur banking trojan, το οποίο κλέβει οικονομικά και τραπεζικά δεδομένα στην παραβιασμένη συσκευή - αλλά μπορεί να κάνει πολύ περισσότερα.

Το κακόβουλο λογισμικό Vultur remote access trojan (RAT) εντοπίστηκε για πρώτη φορά από τους αναλυτές του ThreatFabric τον περασμένο Μάρτιο και ήταν το πρώτο του είδους του που βρέθηκε να χρησιμοποιεί keylogging και καταγραφή οθόνης ως κύρια τακτική για την κλοπή τραπεζικών δεδομένων, επιτρέποντας στην ομάδα να αυτοματοποιήσει τη διαδικασία συλλογής διαπιστευτηρίων και να κλιμακώσει.

Μόλις η συσκευή παραβιαστεί πλήρως, η εφαρμογή εγκαθιστά το Vultur, "ένα προηγμένο και σχετικά νέο είδος κακόβουλου λογισμικού που στοχεύει κυρίως σε διαδικτυακές τραπεζικές διεπαφές για να κλέψει τα διαπιστευτήρια των χρηστών και άλλες κρίσιμες οικονομικές πληροφορίες", αναφέρει η έκθεση.

Η ομάδα της Pradeo ανέφερε ότι ενώ οι ερευνητές υπέβαλαν την αποκάλυψή τους στο Google Play, εντούτοις η κακόβουλη εφαρμογή 2FA Authenticator που ήταν φορτωμένη με το τραπεζικό trojan παρέμεινε διαθέσιμη για 15 ημέρες.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Threat post

[papako]

δεν καταλαβαίνω γιατί να επιλέξει κάποιος μια αλλη εφαρμογή 2FA εκτός από της microsoft ή της Google

[deniSun]

δεν καταλαβαίνω γιατί να επιλέξει κάποιος μια αλλη εφαρμογή 2FA εκτός από της microsoft ή της Google

Εγώ πλέον δεν χρησιμοποιώ ούτε την μία ούτε την άλλη.
KeepassXC ώστε να μπορώ να έχω backup τα 2fa.
Απ όσο θυμάμαι της google και της m$ δεν δίνουν δυνατότητα για backup.
Οπότε αν αλλάξεις συσκευή κλπ θα πρέπει να έχει μεριμνήσει να έχεις κρατήσει τα qr ώστε να μπορείς να τα περάσεις ξανά.

[nnn]

Απ όσο θυμάμαι της google και της m$ δεν δίνουν δυνατότητα για backup.

Της Google έχει επιλογή transfer accounts και η MS cloud backup.

[papako]

Εγώ πλέον δεν χρησιμοποιώ ούτε την μία ούτε την άλλη.
KeepassXC ώστε να μπορώ να έχω backup τα 2fa.
Απ όσο θυμάμαι της google και της m$ δεν δίνουν δυνατότητα για backup.
Οπότε αν αλλάξεις συσκευή κλπ θα πρέπει να έχει μεριμνήσει να έχεις κρατήσει τα qr ώστε να μπορείς να τα περάσεις ξανά.

της microsoft απο οτι βλέπω εχει backup and sync.
εχει το KeepassXC 2fa δυνατότητες. δεν το βρίσκω πουθενά στο internet. Έχεις κάποιο link

[deniSun]

οκ.
Έχω πάρα πολύ καιρό να τις χρησιμοποιήσω.
Ίσως πρόσθεσαν τις λειτουργίες αυτές αργότερα.

Ναι στο keepassxc μπορείς να προσθέσεις για κάποιο url την πιστοποίηση 2fa.
https://keepassxc.org/docs/#faq-security-totp

[konenas]

Επιτρέπεται;

Spoiler:

[GrandGamer]

δεν καταλαβαίνω γιατί να επιλέξει κάποιος μια αλλη εφαρμογή 2FA εκτός από της microsoft ή της Google

Εγώ προσωπικά χρησιμοποιώ αυτό σε συνδυασμό με KeepassXC/KeepassDX για TOTP.

[marvelx]

Δηλαδη, εγω που δινω καθε φορα εγω ο ιδιος, τους κωδικους μου, στην εφαρμογη της winbank στο κινητο, πως κινδυνευω απο αυτο, αν πουμε οτι κατα λαθος εγκατασταθηκε στο κινητο μου;

[GrandGamer]

Δηλαδη, εγω που δινω καθε φορα εγω ο ιδιος, τους κωδικους μου, στην εφαρμογη της winbank στο κινητο, πως κινδυνευω απο αυτο, αν πουμε οτι κατα λαθος εγκατασταθηκε στο κινητο μου;

Το malware είναι keylogger, που σημαίνει ότι καταγράφει αυτά που γράφεις στην εφαρμογή (username, email, κωδικό κλπ). Επίσης καταγράφει ότι φαίνεται στην οθόνη. Εν ολίγοις, στέλνει το username και το password σου σε ανθρώπους που θέλουν πρόσβαση στο ebanking σου.

[ZaNteR]

Η καλυτερη λυση ειναι να εχεις κανενα Rasberry pi η VM το οποιο να το εχεις μονο για e-banking και οτι εχει να κανει με αγοραπωλησιες κτλπ και τιποτα αλλο.

[papako]

έχω φίλο που εδώ και πολλά χρόνια κάθε φορά που θέλει να μπει σε τράπεζα ή να αγοράσει κάτι σηκώνει linux live cd

[sdikr]

έχω φίλο που εδώ και πολλά χρόνια κάθε φορά που θέλει να μπει σε τράπεζα ή να αγοράσει κάτι σηκώνει linux live cd

πραγματικά overkill, εγώ θα κοιτούσα να δω πως τα πάει με το άγχος ο φίλος, αυτό είναι πιο ύπουλο

[papako]

πραγματικά overkill, εγώ θα κοιτούσα να δω πως τα πάει με το άγχος ο φίλος, αυτό είναι πιο ύπουλο

Δεν μπορεις να φανταστεις ....

[konenas]

έχω φίλο που εδώ και πολλά χρόνια κάθε φορά που θέλει να μπει σε τράπεζα ή να αγοράσει κάτι σηκώνει linux live cd

Είναι πολλά τα λεφτά Άρη.