Эксперт компании ESET Лукаш Стефанко (Lukas Stefanko) обнаружил новый вид мошенничества и опасные приложения для Android, которые похищают одноразовые пароли двухфакторной аутентификации (2ФА), используя систему уведомлений. Данная техника позволяет обойти ограничения, наложенные разработчиками Google в начале текущего года и запрещающие приложениям получать доступ к SMS-сообщениям и журналам звонков без серьезного на то обоснования.
Стефанко обнаружил целый ряд приложений (BTCTurk Pro Beta и BtcTurk Pro Beta), выдающих себя за турецкую криптовалютную биржу BtcTurk. Приложения были загружены в Google Play между 7 и 13 июня 2019 года, и представляют угрозу для Android 5.0 (KitKat) и выше, то есть опасны для 90% активных устройств на Android. Основная цель этих вредоносов: хищение учетных данных и их использование, в том числе в сервисах, защищенных 2ФА.
Так как получить доступ к SMS теперь стало трудно, мошенники выбрали другой способ получения информации: они запрашивают разрешение на проверку уведомлений и управление ими. Исследователь объясняет, что это позволяет приложению читать уведомления, отображаемые другими приложениями, установленными на устройстве, отклонять эти уведомления или нажимать кнопки, которые они содержат.
После получения такого разрешения малварь начинает охотиться за учетными данными от криптовалютных сервисов, предлагая жертве фальшивые формы ввода логина и пароля. Если пользователь попался на удочку мошенников и предоставил учетные данные, жертве показывают фейковое сообщение об ошибке. Оно гласит, что с проверкой SMS возникла проблема, и приложение якобы покажет уведомление, как только эта проблема будет устранена.
На самом деле, малварь уже отправила учетные данные пользователя сервер злоумышленников и может читать уведомления, поступающие от других приложений. Стефанко пишет, что обнаружил фильтры, отделяющие приложения, чьи имена содержат ключевые слова gm, yandex, mail, k9, outlook, sms и messaging. В итоге злоумышленники могут читать уведомления всех этих целевых приложений, а также отклонять их и переводить в беззвучный режим, чтобы жертва не узнала о несанкционированном доступе.
У данного метода есть только один минус — злоумышленники могут похитить лишь тот текст, который помещается в уведомлении. Однако Стефанко отмечает, что в большинстве случаев этого будет достаточно, и атака удастся.
Интересно, что на прошлой неделе было замечено еще одно похожее приложение, также ориентированное на турецких пользователей. Эта малварь выдавала себя за криптовалютный обменник Koineks, но была менее сложной, чем имитаторы BtcTurk, например, не могла отклонять уведомления или отключать звук.
Также напомню, что недавно эксперт «Доктор Веб» описывали похожую технику атак, использующую фальшивые уведомления в Android. В том случае уведомления использовались не для хищения одноразовых паролей, но для перенаправления пользователей на вредоносные и рекламные ресурсы.
