Onderzoekers van ESET hebben valse cryptocurrency apps ontdekt die een tot dusver ongeziene
techniek gebruiken om SMS-gebaseerde authenticatie met twee factoren (2FA) te
omzeilen en de h en
oproep log- machtigingen in Android apps in maart 2019 om te voorkomen dat
opdringere apps hen zouden misbruiken
voor diverse onwettelijke doeleinden.
De apps “BTCTurk
Pro Beta,” “BtcTurk Pro Beta” en “BTCTURK PRO” genaamd, eigen zich de naam toe
van het Turkse cryptocurrency- wisselsysteem
en phishen naar inloggegevens van deze dienst.
In plaats van het
onderscheppen van sms-berichten en zo de 2FA-bescherming van de rekeningen en verrichtingen van
gebruikers te omzeilen, gebruiken deze kwaadaardige apps het eenmalig wachtwoord (OTP, one –time password) van meldingen die op het scherm van het gecompromitteerde
toestel verschijnen. Naast het lezen van
de 2FA-meldingen, kunnen de apps ze ook negeren om te verhinderen dat
slachtoffers de frauduleuze verrichtingen zouden opmerken. De drie apps werden
in juni 2019 naar Google Play geüpload en werden snel verwijderd na de verwittiging
door ESET.
Eens de valse BtcTurk apps geïnstalleerd en opgestart,
vragen ze een toestemming die Notification
access wordt genoemd. De apps kunnen dan de meldingen lezen, door andere apps op het toestel geplaatst,
deze negeren of op knoppen klikken eigen aan deze apps. Volgens de analyse van ESET zouden de
aanvallers die achter deze apps zitten meer specifiek doelen op meldingen van
sms- en mailapps.
“Een van de positieve gevolgen van Google’s
restricties uit maart 2019 is dat deze
toepassingen, die identificeringsgegevens stelen, de mogelijkheid , hebben
verloren om deze meldingen te misbruiken en zo de SMS-gebaseerde 2FA
mechanismen te omzeilen. Hoe dan ook,
door het ontdekken van deze valse apps hebben we de eerste malware gezien die
de beperking van de SMS-toestemming weet te omzeilen,” aldus Lukáš Štefanko, ESET
Researcher, verantwoordelijk voort dit onderzoek.
De toestemming
werd geïntroduceerd in Android’s Jelly Bean versie 4.3, waardoor
nagenoeg alle Android toestellen gevoelig zijn voor deze nieuwe techniek. De
valse BtcTurk apps draaien op Android versie 5.0 (KitKat) en hoger. Ze kunnen dus
ongeveer 90% van de Android toestellen beïnvloeden.
Wat de efficiëntie in het omzeilen van de 2FA
betreft, heeft deze specifieke techniek toch zijn beperkingen. Aanvallers
hebben slechts toegang tot de tekst
die in het tekstveld van de melding past en het is niet zeker dat de OTP
in die tekst zit. In 2FA sms-berichten
zijn de berichten doorgaans kort en OTP’s zullen waarschijnlijk in het
meldingsbericht passen. In 2FA mails, zijn lengte en formaat van het bericht
meer gevarieerd wat een impact kan
hebben op de toegankelijke gegevens.
Voor meer details kunt u
het volledige document van Lukáš Štefanko lezen : Malware
sidesteps Google permissions policy with new 2FA bypass technique,” op “WeLiveSecurity.com.”