En ny ondsindet kampagne målrettet Android-brugere via en trojansk app er blevet opdaget i naturen. Kampagnens nyttelast er Vultur-trojaneren, der høster bankoplysninger, blandt andre ondsindede aktiviteter.
Synderen, en ondsindet to-faktor-godkendelse (2FA) app, som var tilgængelig til download i mere end to uger, blev downloadet 10,000 gange. Appen var en fuldt funktionel 2FA-godkendelse (med samme navn) men det kom med en "bonus". Hvis du har downloadet 2FA Authenticator-appen, du bør fjerne det med det samme, fordi du stadig er udsat, Pradeo-forskere advaret.
Ifølge Pradeos rapport:
Applikationen kaldet 2FA Authenticator er en dropper, der bruges til at sprede malware på sine brugeres enheder. Det er udviklet til at se legitimt ud og give en reel service. For at gøre dette, dets udviklere brugte open source-koden til den officielle Aegis-godkendelsesapplikation, som de injicerede skadelig kode til. Som et resultat, applikationen er med succes forklædt som et godkendelsesværktøj, der sikrer, at den holder en lav profil.
Men, den mest bemærkelsesværdige egenskab ved den trojanske app er, at den er i stand til at anmode om kritiske tilladelser, som den ikke afslører på sin Google Play-profil. Takket være disse tilladelser, appen er i stand til at udføre følgende aktiviteter på en kompromitteret Android-enhed:
- Indsaml og send brugernes applikationsliste og lokalisering til dens gerningsmænd, så de kan udnytte oplysningerne til at udføre angreb rettet mod enkeltpersoner i specifikke lande, der bruger specifikke mobilapplikationer, i stedet for massive umålrettede angrebskampagner, der ville risikere at afsløre dem,
- Deaktiver tastelåsen og eventuel tilhørende adgangskodesikkerhed,
- Download tredjepartsapplikationer i form af påståede opdateringer,
- Udfør frit aktiviteter, selv når appen er slukket,
- Overlay andre mobilapplikationers grænseflade ved hjælp af en kritisk tilladelse kaldet SYSTEM_ALERT_WINDOW, for hvilken Google angiver "Meget få apps bør bruge denne tilladelse; disse vinduer er beregnet til interaktion på systemniveau med brugeren."
En anden for nylig offentliggjort Android-trojan er BRATA-trojaneren. Trusselaktører har brugt trojaneren til at "begå bedrageri via uautoriserede bankoverførsler." Nogle af dens muligheder inkluderer at udføre fabriksnulstilling af enheden, GPS sporing, ved hjælp af flere kommunikationskanaler (såsom HTTP og TCP), og løbende at kunne overvåge ofrets bankapp via VNC (Virtual Network Computing) og keylogging.