Podvodníci nikdy nespí a neustále se snaží přijít na způsob, jak okrást nic netušící lidi o jejich těžce vydělané peníze. Nejen proto bezpečnostní experti neustále radí, aby uživatelé stahovali aplikace pouze z ověřených zdrojů a pro větší ochranu využívali dvoufázové ověření. Tentokrát ovšem hackeři rady bezpečnostních expertů zneužili pro své nekalé úmysly.
V Google Play se objevila aplikace 2FA Authenticator, která, jak už název napovídá, má sloužit pro dvoufázové ověřování. Na první pohled to vypadalo, že je nástroj zcela v pořádku – nabízel podporu HOTP a TOTP a snažil se uživatele přesvědčit, že umí importovat protokoly dvoufázových ověřovacích aplikací Authy, Google Authenticatoru, Microsoft Authenticatoru a Steamu na jedno místo. Podle společnosti Pradeo, která podvodnou aplikaci odhalila, ovšem 2FA Authenticator obsahoval modifikovaný kód open-source služby Aegis Authenticator infikovaný malwarem.
Útok skrze aplikaci 2FA Authenticator probíhal ve dvou fázích
První fází útoku hackerů na uživatele bylo přesvědčit je, že se jedná o legitimní aplikaci. Experti označili 2FA Authenticator jako takzvaný dropper, což je škodlivý kód, který ohrožuje zařízení skrytě. Soudě podle více než 10 tisíc stažení za pouhých 15 dní, se to útočníkům podařilo.
Jakmile si nicnetušící oběť do svého zařízení stáhla 2FA Authenticator a udělila mu všechna požadovaná oprávnění, nastala druhá fáze útoku – uživatel totiž otevřel do svého telefonu zadní vrátka pro instalaci malwaru Vultur, který zaznamenává veškeré dění na displeji, díky čemuž může zjistit i všechna zadávaná hesla, například do mobilního bankovnictví či kryptopeněženek. Všechny nasbírané údaje následně přes vzdálené připojení odesílá hackerům.
Aplikace 2FA Authenticator už v tuto chvíli v Google Play nenajdete, nicméně pokud ji máte staženou, neprodleně ji odstraňte a změňte si všechna důležitá hesla.
