Apesar de todas as medidas de segurança implementadas pela Google na Play Store há certas aplicações maliciosas que se conseguem infiltrar na loja digital. A 2FA Authenticator é uma delas e, ao longo dos 15 dias em que esteve disponível, foi instalada mais de 10.000 de vezes.

De acordo com os investigadores da Pradeo, a aplicação, concebida para se parecer com um serviço legítimo, estava a ser utilizada por cibercriminosos para instalar malware nos equipamentos das vítimas sem que estas se apercebessem.

2FA Authenticator
2FA Authenticator créditos: Pradeo

Os investigadores da empresa de cibersegurança explicam que, para criarem a 2FA Authenticator, os cibercriminosos usaram o código open-source de uma aplicação de autenticação legítima, chamada Aegis Authenticator, injetando-lhe depois código malicioso.

O método de ataque da aplicação decorre em duas fases. Na primeira, a 2FA Authenticator recolhe de forma sub-reptícia um vasto conjunto de dados acerca das vítimas. Para tal, a aplicação recorre a uma série de permissões que não são listadas na sua página na Play Store.

2FA Authenticator
2FA Authenticator créditos: Pradeo

As permissões, em combinação com o código malicioso executado pela aplicação, permitiam recolher dados acerca das aplicações instaladas pela vítima, assim como da sua localização, e enviá-los para os cibercriminosos.

A aplicação, que continuava a funcionar em segundo plano mesmo quando era fechada, permitia que os atacantes desativassem os métodos de segurança usados para bloquear o equipamento infetado, fazendo também o download de outras aplicações disfarçadas de atualizações.

A segunda fase do ataque dependia da informação recolhida acerca das vítimas. Se determinadas condições fossem preenchidas, a aplicação instalava o trojan Vultur nos equipamentos infetados. O software malicioso é capaz de roubar credenciais e informação bancária das vítimas.

Após descobrirem a aplicação maliciosa, os investigadores da Pradeo alertaram a Google, que a removeu depois da sua loja digital. Se a tem instalada no seu smartphone deve removê-la imediatamente e analisar o equipamento com uma solução de segurança.