App autenticador 2FA cargado con troyano bancario se distribuye a través de Google Play

El troyano Vultur roba credenciales bancarias, escondiéndose en una aplicación maliciosa de autenticación de dos factores alojada en Play Store.

Después de permanecer disponible durante más de dos semanas, una aplicación maliciosa de autenticación de dos factores (2FA) se eliminó de Google Play, pero no antes de que se descargara más de 10.000 veces. La aplicación, que es totalmente funcional como un autenticador 2FA, viene cargada con el malware Vultur que busca robar datos financieros.

Los actores de amenazas desarrollaron una aplicación operativa y convincente para disfrazar el cuentagotas de malware, utilizando el código de autenticación Aegis de código abierto inyectado con complementos maliciosos. Eso ayudó a que se propagara a través de Google Play sin ser detectado, según un informe de Pradeo.

“Como resultado, la aplicación se disfraza con éxito como una herramienta de autenticación, lo que garantiza que mantenga un perfil bajo”, agregó el informe.

Una vez descargada, la aplicación instala el troyano bancario Vultur, que roba datos financieros y bancarios en el dispositivo comprometido, con la posibilidad de hacer más aún.

Detectado por primera vez por los analistas de ThreatFabric en marzo del año pasado, el malware troyano de acceso remoto (RAT) Vultur fue el primero de su tipo en utilizar el registro de teclas y la grabación de pantalla como su táctica principal para el robo de datos bancarios, lo que permite al grupo automatizar el proceso de recolección de credenciales.

“Los actores optaron por alejarse de la estrategia común de superposición de HTML que solemos ver en otros troyanos bancarios para Android: este enfoque generalmente requiere más tiempo y esfuerzo de los actores para robar información relevante del usuario. En cambio, eligieron simplemente grabar lo que se muestra en la pantalla, obteniendo efectivamente el mismo resultado final”, dijo ThreatFabric en ese momento.

El autenticador 2FA de estafa también solicita permisos de dispositivos más allá de lo que se reveló en el perfil de Google Play, dijo el equipo de Pradeo.

Esos privilegios furtivos y elevados permiten a los atacantes realizar varias funciones más allá de la función estándar de troyanos bancarios, como: Acceder a los datos de ubicación del usuario, para que los ataques puedan dirigirse a regiones específicas; deshabilitar el bloqueo del dispositivo y la seguridad de la contraseña; descargar aplicaciones de terceros; y tomar el control del dispositivo, incluso si la aplicación está cerrada, explica el informe.

Pradeo descubrió otro truco que hizo el 2FA malicioso al obtener el permiso SYSTEM_ALERT_WINDOW, que le da a la aplicación la capacidad de cambiar las interfaces de otras aplicaciones móviles. Como explicó el propio Google, “Muy pocas aplicaciones deberían usar este permiso; estas ventanas están destinadas a la interacción a nivel de sistema con el usuario”.

Una vez que el dispositivo está completamente comprometido, la aplicación instala Vultur, “un tipo de malware avanzado y relativamente nuevo que se dirige principalmente a la interfaz de banca en línea para robar las credenciales de los usuarios y otra información financiera crítica”, dice el informe.

El equipo de Pradeo informó que, si bien los investigadores enviaron su divulgación a Google Play, la aplicación maliciosa 2FA Authenticator cargada con el troyano bancario permaneció disponible durante 15 días.