Solitamente, una delle raccomandazioni più in voga per tutelare la sicurezza dei nostri dispositivi mobili è quella di scaricare applicazioni solo dal Play Store di Google. Purtroppo a volte non basta affidarsi allo store di Big G perché, può capitare, che anche lì si annidino applicazioni infettate da malware. È questo il caso di un’applicazione da poco rimossa dallo store, 2FA Authenticator, che in realtà nascondeva al suo interno il malware Vultur. Vediamo di cosa si tratta.

Il malware Vultur può avere accesso ai vostri dati bancari e svuotarvi il conto

La scoperta è stata fatta dai colleghi di Pradeo che hanno prontamente segnalato la cosa a Google che, a sua volta, dopo 15 giorni ha rimosso l’applicazione incriminata dal Play Store. 2FA Authenticator, installata da oltre 10.000 utenti, è stata identificata come un trojan-dropper, ovvero un’applicazione malevola il cui scopo è quello di installare segretamente un malware sul dispositivo infettato. Dalle analisi effettuate è risultato che lo scopo primario era quello di installare un malware chiamato Vultur, che a sua volta prende di mira i servizi finanziari per rubare le informazioni bancarie dei malcapitati utenti.

2fa-authenticator-malware-vultur

Oltre al fatto che l’applicazione fosse inerente all’autenticazione a due fattori, e quindi dedicata alla sicurezza, essa funzionava effettivamente come tale. Gli sviluppatori infatti hanno utilizzato il codice open source di un altra applicazione di autenticazione, inserendovi poi il malware, di modo che 2FA Authenticator funzionasse effettivamente senza destare sospetti negli utenti. A differenza di altre applicazioni simili però, questa richiedeva autorizzazioni piuttosto particolari che non venivano elencate sul Play Store, ad esempio l’applicazione era in grado di:

  • raccogliere e inviare l’elenco delle applicazioni e la localizzazione degli utenti
  • disabilitare il blocco tasti e qualsiasi password di sicurezza associata
  • scaricare applicazioni di terze parti mascherandole come aggiornamenti
  • operare autonomamente anche ad applicazione spenta
  • utilizzare l’autorizzazione SYSTEM_ALERT_WINDOW per sovrapporsi ad altre applicazioni

Una volta raccolte tutte le informazioni necessarie, Vultur provvedeva a prendere di mira principalmente le applicazioni bancarie e avendo accesso anche ai dati biometrici degli utenti, poteva operare in totale autonomia. Come già detto l’applicazione non è più disponibile sul Play Store, ma qualora foste tra coloro che l’hanno scaricata, correte subito a disinstallarla dal vostro smartphone e controllate che non vi siano problemi con i vostri conti bancari.