Její výzkumníci ESET objevili padělané kryptoměnové aplikace, které používají bezprecedentní techniku obcházení autentizace 2FA na základě SMS, čímž porušila nedávná omezení svých SMS licencí Google.
Τv březnu 2019, Google omezit používání licencí pro SMS zprávy a aplikace Call Log in Android, s cílem chránit uživatele před otravnými aplikacemi s nelegálními účely.
Aplikace s názvem "Beta verze BTCTurk Pro""BtcTurk Pro Beta" a "BTCTURK PRO„Napodobte tureckou kryptoměnovou burzu BtcTurk a „vylovte“ přihlašovací údaje ke službě. Tyto škodlivé aplikace nekradou SMS zprávy, aby obešly 2FA ochranu uživatelských účtů a transakcí, místo toho získávají jednorázový kód (OTP) z upozornění zobrazených na obrazovce napadeného zařízení. Kromě možnosti „číst“ upozornění 2FA je ale mohou aplikace také mazat, což obětem znesnadňuje odhalení nelegálních transakcí. Všechny tři aplikace byly nahrány do Google Play v červnu 2019 a byly odstraněny ihned po jeho aktualizaci ESET.
Po instalaci a spuštění si falešné aplikace vyžádají povolení k přístupu k oznámením. Poté mohou číst oznámení zobrazená jinými aplikacemi nainstalovanými v zařízení, odmítat je nebo klikat na tlačítka, která je obsahují. Podle analýzy ESET se kyberzločinci za těmito aplikacemi konkrétně zaměřují na upozornění z SMS a e-mailových aplikací.
«Díky omezením uloženým společností Google v březnu 2019 ztratily aplikace, které ukradly přihlašovací údaje, možnost zneužít licence, které potřebovaly k obcházení 2FA založených na SMS. Když jsme však objevili tyto falešné aplikace, poprvé jsme viděli malware, který obchází toto omezení oprávnění SMSŘekl výzkumník ESET a autor studie Lukáš ftefanko.
Právo na přístup k oznámením se poprvé objevilo v Android Jelly Bean 4.3, což znamená, že téměř všechna aktivní zařízení Android jsou touto novou technikou zranitelná. Falešné aplikace BtcTurk lze spustit na Androidu verze 5.0 (KitKat) a vyšším. To prakticky znamená, že se týkají asi 90 % zařízení s Androidem.
Tato technika má určitá omezení ve své účinnosti při obcházení certifikace 2FA – narušitelé mají přístup pouze k textu, který odpovídá textovému poli výstrahy, takže není jisté, že text bude obsahovat OTP kód. V SMS pro 2FA jsou zprávy obecně krátké a OTP kódy pravděpodobně odpovídají výstražné zprávě. V e-mailech typu 2FA je však délka a formát zprávy rozmanitější, což může mít vliv na přístup kyberzločinců k datům.
Η ESET vyzývá uživatele podezřelé z používání některé z těchto škodlivých aplikací, aby je okamžitě odinstalovali tím, že zkontrolují, zda na jejich účtu nejsou podezřelé transakce. Abychom zůstali obecně v bezpečí před malwarem na Androidu, ESET nabízí následující tipy:
- Aplikacím pro kryptoměny a finanční služby důvěřujte pouze v případě, že jsou propojeny s jejich oficiálními webovými stránkami.
- Své citlivé údaje zadávejte do elektronických formulářů, pouze pokud jste si jisti jejich bezpečností a zákonností.
- Udržujte své zařízení aktuální.
- Použijte důvěryhodné mobilní bezpečnostní řešení k blokování a odstraňování hrozeb.
- Upřednostňujte softwarové (OTP) kódové služby nebo služby založené na tokenech před SMS nebo e-mailem.
- Používejte pouze důvěryhodné aplikace, ale i v takovém případě jim povolte přístup k oznámením pouze v případě, že existuje dobrý důvod.
ΜNezapomeňte se připojit (zaregistrovat) do našeho fóra, což lze provést velmi snadno pomocí následujícího tlačítka…
(Pokud již máte účet na našem fóru, nemusíte následovat registrační odkaz)
Sledujte nás na telegramu!
