Поддельные криптовалютные приложения обходят политику Google в отношении авторских прав

Ее исследователи ESET обнаружили поддельные приложения для криптовалюты, которые используют беспрецедентную технику обхода аутентификации 2FA на основе SMS, тем самым нарушая недавние ограничения на его SMS-лицензии Google.

Τв марте 2019 г. Google ограничить использование лицензий на SMS-сообщения и журнал вызовов в приложениях Android, чтобы защитить пользователей от надоедливых приложений с незаконными целями.

Приложения под названием "BTCTurk Pro Бета","BtcTurk Pro Бета«И»БТЦТУРК ПРО«Имитируйте турецкую биржу криптовалют BtcTurk и« ловите »учетные данные подключения в сервисе. Эти вредоносные приложения не крадут SMS-сообщения, чтобы обойти двухфакторную защиту учетных записей и транзакций пользователей, вместо этого они получают одноразовый код (OTP) из уведомлений, отображаемых на экране взломанного устройства. Но помимо возможности «читать» предупреждения 2FA, приложения также могут их удалять, что затрудняет обнаружение незаконных транзакций жертвами. Все три приложения были загружены в Гугл игры в июне 2019 года и были удалены сразу после его обновления ESET.

После установки и запуска поддельные приложения запрашивают разрешение на доступ к уведомлениям. Затем они могут читать уведомления, отображаемые другими приложениями, установленными на устройстве, отклонять их или нажимать кнопки, которые их содержат. Согласно анализу ESET, злоумышленники, стоящие за этими приложениями, специально нацелены на уведомления из приложений SMS и электронной почты.

«Из-за ограничений, введенных Google в марте 2019 года, приложения, которые украли учетные данные для входа, потеряли возможность злоупотреблять лицензиями, необходимыми для обхода двухфакторной аутентификации на основе SMS. Однако, обнаружив эти поддельные приложения, мы впервые увидели вредоносное ПО, которое обходило это ограничение на разрешения SMS.Сказал исследователь ESET и автор исследования Лукаш фтефанко.

Право на доступ к уведомлениям впервые появилось в Android Jelly Bean 4.3, а это означает, что почти все активные устройства Android уязвимы для этого нового метода. Поддельные приложения BtcTurk могут работать на Android версии 5.0 (KitKat) и выше. Практически это означает, что они затрагивают около 90% устройств Android.

Этот метод имеет некоторые ограничения по эффективности в обходе сертификации 2FA - злоумышленники имеют доступ только к тексту, который соответствует текстовому полю предупреждения, поэтому нет уверенности, что текст будет содержать код OTP. В SMS для двухфакторной аутентификации сообщения обычно короткие, и коды OTP могут совпадать с предупреждающим сообщением. Однако в электронных письмах с двухфакторной аутентификацией длина и формат сообщения более разнообразны, что может повлиять на доступ к данным для киберпреступников.

Η ESET призывает пользователей, подозреваемых в использовании одного из этих вредоносных приложений, немедленно удалить их, проверив свою учетную запись на наличие подозрительных транзакций. Чтобы в целом обезопасить Android от вредоносных программ, ESET предлагает следующие советы:

• Доверяйте приложениям для скрытых и финансовых услуг, только если они связаны с их официальным сайтом.
• Вводите свои конфиденциальные данные в электронные формы только в том случае, если вы уверены в их безопасности и законности.
• Держите ваше устройство в актуальном состоянии.
• Используйте надежное решение для обеспечения безопасности мобильных устройств, чтобы блокировать и удалять угрозы.
• Отдайте предпочтение программным (OTP) сервисам на основе кода или сервисам на основе токенов, а не SMS или электронной почте.
• Используйте только доверенные приложения, но даже в этом случае разрешайте им доступ к уведомлениям только при наличии уважительной причины.

источник