21.6.19

Valse crypotocurrency apps gebruiken nieuwe 2FA bypass-techiek om Google’s toestemmingsbeleid te omzeilen



Onderzoekers van  ESET hebben valse cryptocurrency  apps ontdekt die een tot dusver ongeziene techniek gebruiken om SMS-gebaseerde authenticatie met twee factoren (2FA) te omzeilen en de h en oproep log- machtigingen in Android apps in maart 2019 om te voorkomen dat opdringere apps  hen zouden misbruiken voor diverse onwettelijke doeleinden.

De apps “BTCTurk Pro Beta,” “BtcTurk Pro Beta” en “BTCTURK PRO” genaamd, eigen zich de naam toe van het Turkse cryptocurrency- wisselsysteem  en phishen naar inloggegevens van deze dienst.

In plaats van het onderscheppen van sms-berichten en zo de 2FA-bescherming  van de rekeningen en verrichtingen van gebruikers te omzeilen, gebruiken deze kwaadaardige apps het  eenmalig wachtwoord (OTP,  one –time password) van meldingen  die op het scherm van het gecompromitteerde toestel verschijnen.  Naast het lezen van de 2FA-meldingen, kunnen de apps ze ook negeren om te verhinderen dat slachtoffers de frauduleuze verrichtingen zouden opmerken. De drie apps werden in juni 2019 naar Google Play geüpload  en werden snel verwijderd na de verwittiging door ESET.

Eens de valse BtcTurk apps geïnstalleerd en opgestart, vragen ze een toestemming die Notification access wordt genoemd. De apps kunnen dan de meldingen lezen,  door andere apps op het toestel geplaatst, deze negeren of op knoppen klikken eigen aan deze apps.  Volgens de analyse van ESET zouden de aanvallers die achter deze apps zitten meer specifiek doelen op meldingen van sms- en mailapps. 

“Een van de positieve gevolgen van Google’s restricties uit maart 2019  is dat deze toepassingen, die identificeringsgegevens stelen, de mogelijkheid , hebben verloren om deze meldingen te misbruiken en zo de SMS-gebaseerde 2FA mechanismen te omzeilen.  Hoe dan ook, door het ontdekken van deze valse apps hebben we de eerste malware gezien die de beperking van de SMS-toestemming weet te omzeilen,” aldus Lukáš Štefanko, ESET Researcher, verantwoordelijk voort dit onderzoek.

De toestemming  werd geïntroduceerd in Android’s Jelly Bean versie 4.3, waardoor nagenoeg alle Android toestellen gevoelig zijn voor deze nieuwe techniek. De valse BtcTurk apps draaien op Android versie 5.0 (KitKat) en hoger. Ze kunnen dus ongeveer 90% van de Android toestellen beïnvloeden.

Wat de efficiëntie in het omzeilen van de 2FA betreft, heeft deze specifieke techniek toch zijn beperkingen.  Aanvallers  hebben slechts toegang tot de tekst  die in het tekstveld van de melding past en het is niet zeker dat de OTP in die tekst zit. In 2FA sms-berichten  zijn de berichten doorgaans kort en OTP’s zullen waarschijnlijk in het meldingsbericht passen. In 2FA mails, zijn lengte en formaat van het bericht meer gevarieerd  wat een impact kan hebben op de toegankelijke gegevens.  

Voor meer details kunt u het volledige document  van  Lukáš Štefanko lezen : Malware sidesteps Google permissions policy with new 2FA bypass technique,” op “WeLiveSecurity.com.”

Meer vernemen over het aanbod van ESET? Breng een bezoek aan https://www.eset.com/be-nl/