La aplicación, denominada '2FA Authenticato', se había publicado en la tienda de Google como un 'software' para la autenticación de dos factores, y de hecho funcionaba como tal, pero tenía una función oculta dirigida a instalar 'malware' en los teléfonos de los usuarios.
Esta aplicación solicitaba permisos críticos -no desglosados- y ejecutaba un código malicioso con el objetivo de recolectar datos como la lista de aplicaciones instaladas o la ubicación; desinstalar elementos de seguridad como un antivirus o la clave de desbloqueo; instalar aplicaciones de terceros o realizar acciones cuando el terminal está apagado.
En una segunda fase, la aplicación maliciosa instalaba Vultur, un troyano diseñado para robar las credenciales de acceso a las aplicaciones bancarias de los usuarios, como han explicado los investigadores de Pradeo.
La compañía de ciberseguridad alertó de este hallazgo a Google, que retiró la aplicación de su tienda Play Store después de que estuviera publicada durante 15 días y alcanzara más de 10.000 descargas.