Όταν η Google περιόρισε τη χρήση των δικαιωμάτων σύνδεσης SMS και Call Log στις εφαρμογές Android τον Μάρτιο του 2019, ένα από τα θετικά αποτελέσματα ήταν ότι οι εφαρμογές που έκλεβαν διαπιστευτήρια έχασαν την επιλογή να καταχραστούν αυτά τα δικαιώματα για την παράκαμψη των μηχανισμών two-factor authentication (2FA).
Δυστυχώς, όμως, βρέθηκαν πρόσφατα κακόβουλες εφαρμογές που έχουν πρόσβαση σε κωδικούς πρόσβασης μιας ώρας (OTP) σε SMS 2FA χωρίς να χρησιμοποιούν δικαιώματα SMS, παρακάμπτοντας τους πρόσφατους περιορισμούς της Google. Ως μπόνους, αυτή η τεχνική δουλεύει επίσης για την απόκτηση OTPs από μερικά συστήματα 2FA.
Οι εφαρμογές μιμούνται το Τούρκικο cryptocurrency exchange BtcTurk και επιτίθενται μέσω phishing για να κλέψουν τα διαπιστευτήρια σύνδεσης στην υπηρεσία. Οι κακόβουλες εφαρμογές λαμβάνουν το OTP από τις ειδοποιήσεις που εμφανίζονται στην οθόνη του θύματος. Εκτός από την ανάγνωση των ειδοποιήσεων 2FA, οι εφαρμογές μπορούν επίσης να τις αποκρύψουν για να μη καταλάβουν τα θύματα την επίθεση.
Το κακόβουλο λογισμικό, όλες οι μορφές του οποίου ανιχνεύονται από τα προϊόντα ESET είναι το πρώτο που παρακάμπτει τα νέα SMS permission restrictions.
Η πρώτη από τις κακόβουλες εφαρμογές που εντοπίστηκε, φορτώθηκε στο Google Play στις 7 Ιουνίου 2019 ως “BTCTurk Pro Beta” κάτω από το όνομα προγραμματιστή “BTCTurk Pro Beta”. Εγκαταστάθηκε από περισσότερους από 50 χρήστες πριν αναφερθεί από την ESET στις ομάδες ασφάλειας της Google. Το BtcTurk είναι ένα τουρκικό cryptocurrency exchange. Η επίσημη εφαρμογή για κινητά συνδέεται στον ιστότοπο της ανταλλαγής και είναι διαθέσιμη μόνο στους χρήστες της Τουρκίας.
Η δεύτερη εφαρμογή μεταφορτώθηκε στις 11 Ιουνίου 2019 ως “BtcTurk Pro Beta” κάτω από το όνομα προγραμματιστή “BtSoft”. Παρόλο που οι δύο εφαρμογές χρησιμοποιούν ένα πολύ παρόμοιο σχηματισμό, φαίνεται ότι είναι το έργο διαφόρων επιτιθέμενων. Αναφέρθηκε η εφαρμογή στις 12 Ιουνίου 2019, όταν είχε εγκατασταθεί από λιγότερους από 50 χρήστες.
Μετά την κατάργηση αυτής της δεύτερης εφαρμογής, οι ίδιοι εισβολείς ανέβασαν μια άλλη εφαρμογή με την ίδια λειτουργικότητα, αυτή τη φορά με το όνομα “BTCTURK PRO” και χρησιμοποιώντας το ίδιο όνομα προγραμματιστή, εικονίδιο και στιγμιότυπα οθόνης. Η εφαρμογή αναφέρθηκε στις 13 Ιουνίου 2019.
Για περισσότερες τεχνικές λεπτομέρειες κάντε κλικ εδώ.
