Aplikasi 2FA Penuh dengan Trojan Perbankan Menyerang 10K Korban melalui Google Play

Setelah tersedia selama lebih dari dua minggu, aplikasi autentikasi dua faktor (2FA) yang berbahaya telah dihapus dari Google Play — tetapi tidak sebelum aplikasi itu diunduh lebih dari 10.000 kali. Aplikasi, yang berfungsi penuh sebagai autentikator 2FA, dilengkapi dengan malware pencuri Vultur yang menargetkan dan menyerang data keuangan.

Pengguna dengan aplikasi jahat, yang secara langsung disebut “2FA Authenticator”, disarankan oleh para peneliti di Pradeo untuk menghapusnya dari perangkat mereka segera karena mereka masih tetap berisiko — baik dari pencurian masuk perbankan dan serangan lain yang dimungkinkan oleh izin aplikasi yang berlebihan.

Para pelaku ancaman mengembangkan aplikasi yang operasional dan meyakinkan untuk menyamarkan penetes malware, menggunakan kode otentikasi Aegis sumber terbuka disuntik dengan add-on berbahaya. Itu membantunya menyebar melalui Google Play tanpa terdeteksi, menurut laporan Pradeo yang dirilis pada hari Kamis.

“Akibatnya, aplikasi berhasil menyamar sebagai alat otentikasi, yang memastikannya tetap low profile,” tambah laporan itu.

Vultur Banking Trojan Menghabiskan Izin

Setelah diunduh, aplikasi menginstal Vultur banking trojan, yang mencuri data keuangan dan perbankan pada perangkat yang disusupi — tetapi dapat melakukan lebih banyak lagi.

Pertama kali terdeteksi oleh analis di ThreatFabric Maret lalu, malware Vultur remote access trojan (RAT) adalah yang pertama dari jenisnya ditemukan menggunakan keylogging dan perekaman layar sebagai taktik utamanya untuk pencurian data perbankan, memungkinkan grup untuk mengotomatiskan proses pengambilan kredensial dan aplikasi scale.
Faux 2FA terbang dengan Vultur trojan. Sumber: Pradeo.

“Aktor memilih untuk menghindari strategi overlay HTML umum yang biasanya kita lihat di trojan perbankan Android lainnya: pendekatan ini biasanya membutuhkan lebih banyak waktu dan usaha dari aktor untuk mencuri informasi yang relevan dari pengguna. Sebaliknya, mereka memilih untuk hanya merekam apa yang ditampilkan di layar, secara efektif mendapatkan hasil akhir yang sama, ”kata ThreatFabric saat itu.

Otentikator scam 2FA juga meminta izin perangkat di luar apa yang diungkapkan di profil Google Play, tim Pradeo said.

Hak istimewa yang ditinggikan dan licik itu memungkinkan penyerang melakukan berbagai fungsi di luar tarif trojan perbankan standar, seperti: Mengakses data lokasi pengguna, sehingga serangan dapat ditargetkan ke wilayah tertentu; menonaktifkan kunci perangkat dan keamanan kata sandi; mengunduh aplikasi pihak ketiga; dan mengambil alih kendali perangkat, bahkan jika aplikasi dimatikan, laporan tersebut menjelaskan.

Pradeo menemukan trik kotor lain yang dilakukan 2FA jahat dengan mengambil izin SYSTEM_ALERT_WINDOW, yang memberi aplikasi kemampuan untuk mengubah antarmuka aplikasi seluler lainnya. Seperti yang dijelaskan Google sendiri, “Sangat sedikit aplikasi yang harus menggunakan izin ini; jendela ini ditujukan untuk interaksi tingkat sistem dengan pengguna.”

Setelah perangkat sepenuhnya disusupi, aplikasi menginstal Vultur, “jenis malware yang relatif baru dan canggih yang sebagian besar menargetkan antarmuka perbankan online untuk mencuri kredensial pengguna dan keuangan penting lainnya. “