Valse crypotocurrency apps gebruiken nieuwe 2FA bypass-techiek om Google’s toestemmingsbeleid te omzeilen
De apps “BTCTurk Pro Beta,” “BtcTurk Pro Beta” en “BTCTURK PRO” genaamd, eigen zich de naam toe van het Turkse cryptocurrency- wisselsysteem en phishen naar inloggegevens van deze dienst.
In plaats van het onderscheppen van sms-berichten en zo de 2FA-bescherming van de rekeningen en verrichtingen van gebruikers te omzeilen, gebruiken deze kwaadaardige apps het eenmalig wachtwoord (OTP, one –time password) van meldingen die op het scherm van het gecompromitteerde toestel verschijnen. Naast het lezen van de 2FA-meldingen, kunnen de apps ze ook negeren om te verhinderen dat slachtoffers de frauduleuze verrichtingen zouden opmerken. De drie apps werden in juni 2019 naar Google Play geüpload en werden snel verwijderd na de verwittiging door ESET.
Eens de valse BtcTurk apps geïnstalleerd en opgestart, vragen ze een toestemming die Notification access wordt genoemd. De apps kunnen dan de meldingen lezen, door andere apps op het toestel geplaatst, deze negeren of op knoppen klikken eigen aan deze apps. Volgens de analyse van ESET zouden de aanvallers die achter deze apps zitten meer specifiek doelen op meldingen van sms- en mailapps.
“Een van de positieve gevolgen van Google’s restricties uit maart 2019 is dat deze toepassingen, die identificeringsgegevens stelen, de mogelijkheid , hebben verloren om deze meldingen te misbruiken en zo de SMS-gebaseerde 2FA mechanismen te omzeilen. Hoe dan ook, door het ontdekken van deze valse apps hebben we de eerste malware gezien die de beperking van de SMS-toestemming weet te omzeilen,” aldus Lukáš Štefanko, ESET Researcher, verantwoordelijk voort dit onderzoek.
De toestemming werd geïntroduceerd in Android’s Jelly Bean versie 4.3, waardoor nagenoeg alle Android toestellen gevoelig zijn voor deze nieuwe techniek. De valse BtcTurk apps draaien op Android versie 5.0 (KitKat) en hoger. Ze kunnen dus ongeveer 90% van de Android toestellen beïnvloeden.
Wat de efficiëntie in het omzeilen van de 2FA betreft, heeft deze specifieke techniek toch zijn beperkingen. Aanvallers hebben slechts toegang tot de tekst die in het tekstveld van de melding past en het is niet zeker dat de OTP in die tekst zit. In 2FA sms-berichten zijn de berichten doorgaans kort en OTP’s zullen waarschijnlijk in het meldingsbericht passen. In 2FA mails, zijn lengte en formaat van het bericht meer gevarieerd wat een impact kan hebben op de toegankelijke gegevens.
Voor meer details kunt u het volledige document van Lukáš Štefanko lezen : Malware sidesteps Google permissions policy with new 2FA bypass technique,” op “WeLiveSecurity.com.”