Si tienes esta aplicación 2FA en tu dispositivo Android ¡Eliminala ahora! Te roba los datos bancarios

Por 15 días estuvo esta aplicación que simulaba ser de Segundo Factor de Autenticación (2FA) disponible en la tienda de Google mientras robaba los datos bancarios de sus usuarios. Si la instalaste, ¡eliminala ahora!.

Si tienes esta aplicación 2FA en tu dispositivo Android ¡Eliminala ahora! Te roba los datos bancarios

Las aplicaciones de Segundo Factor de Identificación o 2FA son muy importantes si quieres mantener la seguridad de tus cuentas en línea. Pero debido a la alta demanda de estas, los piratas informáticos tratan de camuflar código maligno en este tipo de aplicaciones robando los datos de miles de usuarios.

Tal es el caso de https://play.google.com/store/apps/details?id=com.privacy.account.safetyapp una aplicación que simulaba ser de seguridad 2FA y que estuvo en el Google Play Store por 15 días con más de 10 000 descargas a quienes potencialmente les pueden haber robado sus credenciales bancarias.

Según los investigadores de Pradeo, un proveedor de investigación y productos de seguridad móvil con sede en Francia, la aplicación se eliminó de la tienda Google Play.

La aplicación en cuestión se presenta como una utilidad de autenticación multifactor llamada "2FA Authenticator" que Pradeo identificó como un "trojan-dropper". La aplicación que  instala un malware conocido como Vultur, que fue diseñado específicamente para robar información bancaria del usuario de la aplicación móvil. Desafortunadamente para los más de 10,000 usuarios que instalaron el software antes de que fuera retirado de Google Play Store, en realidad era un software de autenticación de múltiples factores que funcionaba legítimamente. La aplicación utilizó un código de fuente abierta para la aplicación de autenticación Aegis que se encuentra en el respositorio de Github, que luego los delincuentes inyectaron con el malware para robar los datos bancarios de las personas.

El ataque funcionó en dos etapas. La primera etapa es omitir las solicitudes de acceso de permisos que permiten que la aplicación acceda a los detalles del dispositivo. Esto permite que la aplicación recopile y envíe la lista de aplicaciones del usuario y la información de localización.

El permiso otorgado también le permitió deshabilitar casi cualquier función de seguridad en el dispositivo, descargar aplicaciones sin permiso, realizar funciones incluso si la aplicación está cerrada y superponer otras aplicaciones con sus propias interfaces. La superposición es una forma bastante complicada de generar una página de inicio de sesión falsa u otros métodos para robar datos. La segunda parte de esta aplicación de malware es activar la instalación del malware Vultur para robar la información bancaria de la víctima.

La alerta para cualquier usuario que haya instalado esta aplicación es Desinstalarla con premura y contactar con su banco para verificar si se han realizado algunas transacciones sospechosas así como modificar las credenciales utilizadas.

El reporte completo de Pradeo se puede encontrar en su sitio web y lo puedes leer a través de este enlace.

Este artículo fue realizado utilizando como fuentes los reportes de seguridad de Pradeo.