装有银行木马的双因素认证应用通过Google Play攻击了1万名用户

一个恶意的双因素认证（2FA）应用程序在上架两个多星期之后，已经从Google Play中删除了。但在此之前它已经被下载了超过10,000次。作为一款2FA认证器，这款应用功能齐全，但却加载了Vultur窃取器恶意软件。该软件以用户的金融数据为攻击目标，并可能对其造成重大破坏。

Pradeo公司的研究人员建议使用该恶意应用程序（名为 "2FA认证器"）的用户立即从他们的设备中删除该应用程序，因为他们的信息很可能会被攻击。该应用程序所获得的其他权限也可能会带来其他的攻击。

威胁者开发了一个可控制的、伪装精致的应用程序来投放恶意软件，并且使用开源的Aegis认证代码注入恶意的附加组件。根据Pradeo周四发布的一份报告，这些特点有助于它通过Google Play传播而不易被发现。

报告补充说："因此，该恶意应用程序成功地伪装成了一个认证工具，这样可以确保它不会轻易被人发现。”

Vultur银行木马获取了更多权限

一旦应用程序被下载，该应用程序就会安装Vultur银行木马，它可以窃取被攻击设备上的银行数据，除此之外，其实还可以做很多事情。

Vultur远程访问特洛伊木马（RAT）恶意软件在去年3月首次被ThreatFabric的分析师发现，它是第一个使用键盘记录和屏幕记录来盗窃银行数据的软件，该功能使该组织能够自动收集用户的凭证。

ThreatFabric当时说，攻击者没有选择使用我们通常在其他安卓银行木马中看到的HTML覆盖策略，这种方法通常需要攻击者花费更多的时间和精力，才可以从用户那里窃取到信息。相反，他们选择使用了更为简单的记录屏幕上显示的内容的方法，同样能够有效地获得相同的结果。

Pradeo团队说，这个骗局中使用的2FA认证器除了需要Google Play资料中所标注的设备权限外，它还要求更多权限。

除了具有银行木马的功能外，获取的各种高级权限能够使攻击者执行更多的功能。例如，报告解释说，访问用户的位置数据，这样就可以针对特定地区的用户进行攻击；禁用设备锁和密码安全功能、下载第三方应用程序、以及接管设备的控制权。

Pradeo发现了该恶意的2FA软件的另一个攻击方式，它通过获取SYSTEM_ALERT_WINDOW权限，使该应用能够改变其他移动应用的界面。正如谷歌自己解释的那样，很少有应用程序使用这个权限；这些窗口是为了与用户进行系统级互动。

一旦设备被完全破坏，该应用程序就会安装Vultur，这是一种先进的、相对较新的恶意软件，主要是针对网上银行界面进行攻击，窃取用户的凭证和其他重要的财务信息。

Pradeo的团队报告说，虽然研究人员向Google Play提交了他们的披露信息，然而那些加载银行木马的恶意2FA Authenticator应用程序仍然在15天内是可用的。

参考及来源：https://threatpost.com/2fa-app-banking-trojan-google-play/178077/