Des chercheurs d’ ESET ont découvert de fausses applications de crypto-monnaie
utilisant une technique inédite pour contourner
une authentification à deux facteurs (2FA) basée sur SMS, qui contourne
les récentes restrictions émises par Google. En mars dernier, Google a restreint
l’utilisation des autorisation SMS et du journal des appels dans les applications Android, afin d’empêcher
les applications intrusives d’en abuser à des fins illicites.
Les applications “BTCTurk Pro Beta,” “BtcTurk Pro Beta”
et “BTCTURK PRO” usurpent l'identité de
l’application d'échange de la crypto-monnaie turque BtcTurk
et hameçonnent des identifiants
de connexion au service. Au lieu d’intercepter des messages SMS pour contourner
la protection 2FA sur les comptes et les transactions des utilisateurs, ces
applications malveillantes prennent le mot de passe à usage unique (OTP)
des notifications qui apparaissent sur l’écran de l’appareil compromis. En plus de la
lecture des notifications 2FA, les applications peuvent aussi les supprimer
afin d’empêcher les victimes de remarquer des transactions frauduleuses. Les
trois applications ont été téléchargés en Juin sur Google Play et ont
rapidement été retirées suite à la notification faite par ESET.
Une fois installées et lancées, les fausses
applications BtcTurk demandent une
autorisation nommée Notification access.
Les applications peuvent alors lire les notifications affichées par d'autres
applications installées sur l'appareil, ignorer celles-ci ou cliquer sur les
boutons qu’elles contiennent. Selon l’analyse d’EST, les attaquants ciblent
spécifiquement les notifications émises à partir d'applications SMS et de
messagerie.
« Un des effets positifs des restrictions
émises par Google depuis mars 2019 a été que ces applications, qui volet les
informations d’identification, ont perdu la possibilité d’abuser de ces
autorisations pour contourner les mécanismes 2FA basés sur SMS. Pourtant, grâce
la découverte de ces fausses applications, nous venons de découvrir le premier
malware qui contourne cette restriction d'autorisations SMS, » explique
Lukáš Štefanko, chercheur chez ESET, auteur de cette étude.
L’autorisation Notification access a été introduite avec la version 4.3 de
Jelly Bean d’Android, ce qui veut dire
en pratique que tous les appareils actifs sous Android sont sensibles à cette
nouvelle technique. Cette fausse application BtcTurk requière la version
Android 5.0 (KitKat) et plus, et peut
donc affecter environ 90% des appareils Android.
En ce qui concerne son efficacité à
contourner la 2FA, cette technique spécifique à cependant des limites
– les attaquants ne peuvent accéder aux textes qui correspondent au champ de
texte de la notification et il n’est donc pas garanti que ce texte contienne
l’OTP. Dans les SMS EFA, les messages sont généralement courts et les OTP
peuvent très bien tenir dans le message de notification. Cependant, dans un
mail 2FA, la longueur du message et son format sont bien plus variés, ce
qui peut avoir un impact sur les données accessibles.