Антивирусная компания ESET обнаружила в Google Play ряд вредоносных приложений, которые стремятся получить доступ к одноразовым паролям для обхода двухфакторной аутентификации. Все они были
замаскированы под легальную турецкую криптовалютную биржу BtcTurk.
После запуска одного из трех приложений (BTCTurk Pro Beta, BtcTurk Pro Beta и BTCTURK PRO) пользователю отправлялся запрос на доступ к уведомлениям, после чего появлялось окно для ввода учетных
данных в систему BtcTurk.
Введя аутентификационные данные, пользователь получал сообщение о технических неполадках и невозможности продолжить регистрацию. Вся введенная им информация и всплывающие уведомления с кодом
аутентификации направлялись на удаленный сервер киберпреступников.
При этом мошенники видели только текстовое поле всплывающих сообщений. Если оно не содержало пароль, то попытка обхода двухфакторной аутентификации проваливалась.
ESET отмечает, что обнаружение вредоносных приложений с подобным функционалом — первый известный случай с момента введения ограничений доступа Android-приложений к журналу вызовов и SMS.
«BTCTurk Pro Beta» было загружено в Google Play 7 июня 2019 года и с этого момента его установили более 50 человек.
Второе приложение было загружено 11 июня 2019 года как «BtcTurk Pro Beta». Несмотря на большую схожесть, вероятнее всего авторы у них разные. К 12 июню его успели скачать менее 50 человек.
Далее в Google Play уже появилось третье. В настоящее время все они удалены.
Уточним, что официальное приложение биржи можно скачать на ее официальном сайте, но доступно оно только для пользователей в Турции.
Во всех были обнаружены фильтры, предназначенные только для уведомлений из приложений, имена которых содержат ключевые слова « gm, yandex, mail, k9, outlook, sms, messaging».
«После ограничения правил со стороны Google мошенники потеряли возможность злоупотреблять разрешениями для обхода двухфакторной аутентификации по SMS. Однако теперь мы видим, что их все же можно
обойти», — комментирует эксперт ESET Лукас Стефанко.
Разрешение на доступ к уведомлениям было введено в версии 4.3 Android (Jelly Bean), из чего следует, что почти все активные устройства Android подвержены новой технике. Для
работы обоих поддельных приложений BtcTurk требуется версия Android 5.0 (KitKat) или выше; таким образом, они могут затронуть около 90% устройств.
ESET отметила что, судя по недавно проанализированным ими приложениям, можно сделать вывод о продолжении деятельности этих злоумышленников. Возможно, в скором времени появятся новые, с уже
усовершенствованной техникой.
Источник: http://www.it-world.ru/it-news/security/146467.html
