Os pesquisadores dela ESET descobriram aplicativos de criptomoeda falsificados que usam uma técnica de bypass de autenticação sem precedentes 2FA baseado em SMS, violando assim as recentes restrições às licenças de SMS Google.
Τem março de 2019, o Google restringir o uso de licenças para mensagens SMS e registro de chamadas em aplicativos Android, a fim de proteger os usuários de aplicativos irritantes com fins ilegais.
Os aplicativos, chamados de "Beta do BTTurk Pro","Btc Turk Pro Beta"E"BTCTURK PRO"Imitar a troca de criptomoeda turca BtcTurk e credenciais de conexão" pescar "no serviço. Esses aplicativos maliciosos não roubam mensagens SMS para contornar a proteção 2FA das contas e transações dos usuários; em vez disso, eles obtêm o código único (OTP) das notificações exibidas na tela do dispositivo comprometido. Mas, além da capacidade de "ler" alertas 2FA, os aplicativos também podem excluí-los, tornando difícil para as vítimas detectar transações ilegais. Todos os três aplicativos foram enviados para Google Play em junho de 2019 e foram removidos imediatamente após sua atualização ESET.
Depois de instalados e em execução, os aplicativos falsificados solicitam permissão para acessar as notificações. Eles podem então ler notificações exibidas por outros aplicativos instalados no dispositivo, rejeitá-los ou clicar nos botões que os contêm. De acordo com a análise da ESET, os cibercriminosos por trás desses aplicativos visam especificamente notificações de aplicativos de SMS e e-mail.
«Graças às restrições impostas pelo Google em março de 2019, os aplicativos que roubavam credenciais de login perderam a capacidade de abusar das licenças de que precisavam para contornar 2FAs baseados em SMS. No entanto, descobrindo esses aplicativos falsos, vimos pela primeira vez um malware contornando essa restrição de permissões de SMSDisse o pesquisador da ESET e autor do estudo, Lukáš ftefanko.
O direito de acessar notificações apareceu pela primeira vez na versão Android do Jelly Bean 4.3, o que significa que quase todos os dispositivos Android ativos são vulneráveis a esta nova técnica. Os aplicativos Fake BtcTurk podem ser executados no Android versão 5.0 (KitKat) e superior. Isso praticamente significa que eles afetam cerca de 90% dos dispositivos Android.
Essa técnica tem algumas limitações em sua eficácia para contornar a certificação 2FA - os invasores só têm acesso ao texto que corresponde ao campo de texto do alerta, portanto, não é certo que o texto conterá o código OTP. No SMS para 2FA, as mensagens são geralmente curtas e os códigos OTP provavelmente correspondem à mensagem de alerta. No entanto, em e-mails 2FA, o comprimento e o formato da mensagem são mais variados, possivelmente afetando o acesso do crime cibernético aos dados.
Η ESET exorta os usuários suspeitos de usar um desses aplicativos maliciosos a desinstalá-los imediatamente, verificando sua conta em busca de transações suspeitas. Para ficar geralmente protegido contra qualquer malware no Android, a ESET oferece as seguintes dicas:
- Somente confie em aplicativos de criptomoeda e serviços financeiros se tiver um link para seu site oficial.
- Insira suas informações confidenciais em formulários eletrônicos apenas se tiver certeza de sua segurança e legalidade.
- Mantenha seu dispositivo atualizado.
- Use uma solução de segurança móvel confiável para bloquear e remover ameaças.
- Prefira serviços baseados em código baseados em software (OTP) ou serviços baseados em token em vez de SMS ou e-mail.
- Use apenas aplicativos confiáveis, mas, mesmo assim, permita que eles acessem as notificações apenas se houver um bom motivo.
ΜNão se esqueça de aderir (registar-se) no nosso fórum, o que pode ser feito facilmente através do seguinte botão…
(Se você já possui uma conta em nosso fórum, não precisa seguir o link de registro)
Siga-nos no Telegram!
