她的研究员 ESET 发现了使用前所未有的身份验证绕过技术的伪造加密货币应用程序 基于短信的2FA,从而违反了最近对其 SMS 许可证的限制 谷歌.
Τ2019 年 XNUMX 月, 谷歌 限制在 Android 应用程序中使用 SMS 消息和通话记录的许可证,以保护用户免受具有非法目的的恼人应用程序的侵害。
这些应用程序称为“BTCTurk Pro 测试版“,”BtcTurk Pro 测试版“和”比特币专业版“在服务中模仿土耳其加密货币交易所 BtcTurk 和”鱼“连接凭证。 这些恶意应用程序不会窃取 SMS 消息来绕过用户帐户和交易的 2FA 保护,而是从受感染设备屏幕上显示的通知中获取一次性代码 (OTP)。 但除了“读取”2FA 警报的能力外,应用程序还可以删除它们,使受害者难以检测到非法交易。 所有三个应用程序都上传到 Google Play 2019 年 XNUMX 月,更新后立即删除 ESET.
安装并运行后,虚假应用程序会请求访问通知的权限。 然后,他们可以阅读设备上安装的其他应用程序显示的通知、拒绝通知或单击包含通知的按钮。 根据 ESET 分析,这些应用程序背后的网络犯罪分子专门针对来自 SMS 和电子邮件应用程序的通知。
«由于谷歌在 2019 年 2 月实施的限制,窃取登录凭据的应用程序无法滥用绕过基于 SMS 的 XNUMXFA 所需的许可证。 然而,发现这些虚假应用程序后,我们第一次看到了绕过这种短信权限限制的恶意软件ESET 研究员和该研究的作者 Lukáš ftefanko 说。
获取通知的权限首先出现在 Android 版本的 Jelly Bean 4.3 中,这意味着几乎所有活跃的 Android 设备都容易受到这种新技术的影响。 假的 BtcTurk 应用程序可以在 Android 5.0 (KitKat) 及更高版本上运行。 这实际上意味着它们影响了大约 90% 的 Android 设备。
这种技术在绕过 2FA 认证的有效性方面存在一些限制 - 入侵者只能访问与警报文本字段匹配的文本,因此不确定该文本是否包含 OTP 代码。 在 2FA 的 SMS 中,消息通常很短,并且 OTP 代码可能与警报消息匹配。 但是,在 2FA 电子邮件中,消息的长度和格式更加多样化,可能会影响网络犯罪对数据的访问。
Η ESET 敦促怀疑使用这些恶意应用程序之一的用户通过检查其帐户是否存在可疑交易来立即卸载它们。 为了在 Android 上远离任何恶意软件,ESET 提供了以下提示:
- 只有在与其官方网站链接时才会信任隐秘和金融服务应用程序。
- 如果您对其安全性和合法性充满信心,请仅将您的敏感信息输入电子表格。
- 让您的设备保持最新状态。
- 使用可靠的移动安全解决方案来阻止和消除威胁。
- 首选基于软件 (OTP) 代码的服务或基于令牌的服务,而不是 SMS 或电子邮件。
- 仅使用受信任的应用程序,但即便如此,也只有在有充分理由的情况下才允许它们访问通知。
