L’autenticazione a due fattori (2FA) è progettata per proteggere gli utenti offrendo una linea di difesa aggiuntiva contro gli aggressori. Ma cosa succede quando le app 2FA stesse sono dannose? Questo è proprio ciò che stiamo esaminando in un nuovo rapporto della società di sicurezza mobile Pradeo, che analizza un’app 2FA compromessa che è stata scaricata più di 10.000 volte prima che Google la mettesse offline a metà gennaio.
L’app esaminata da Praedo si chiama 2FA Authenticator. Sebbene costruita attorno a un legittimo framework 2FA open source, un payload nascosto conteneva un pacchetto di malware noto come Vultur, un Trojan di accesso remoto (RAT). Il falso autenticatore ha adottato un approccio su più fronti per il furto di dati.
In primo luogo, ha raccolto un elenco di app installate e dati sulla posizione (in modo che i criminali informatici possano prendere di mira utenti specifici per paese). Con il pretesto di installare “aggiornamenti”, il malware ha disabilitato i controlli di sicurezza del sistema, funzionando di nascosto anche dopo che la vittima pensava che l’app fosse stata chiusa.
Quando era pronta, l’app ha rilasciato Vultur, che si sarebbe concentrato sulle app bancarie. È allora che poteva iniziare un lento drenaggio delle finanze di una vittima. Gli stessi RAT – e anche in particolare quelli che prendono di mira le informazioni bancarie – sono tutt’altro che nuove minacce, ma una delle caratteristiche più insidiose di questo è proprio quanto fosse ben nascosto.
L’app esternamente funzionava proprio come un utente ragionevole potrebbe aspettarsi, ma 2FA Authenticator era un lupo travestito da pecora, poiché il software pericoloso era essenzialmente nascosto all’interno di un guscio di codice open source dall’app Aegis Authenticator 2FA totalmente legittima (che tra l’altro è la nostra scelta preferita per l’autenticazione 2FA su Android).
