Android malver zaobilazi dvofaktornu autentifikaciju da bi ukrao jednokratne lozinke

Mobilni telefoni, 20.06.2019, 10:00 AM

Istraživači iz kompanije ESET otkrili su zlonamerne aplikacije koje mogu da pristupaju jednokratnim lozinkama u SMS 2FA porukama bez dozvola za pristup SMS porukama. Ove aplikacije zaobilaze Googleovu zabranu aplikacija koje pristupaju SMS porukama i evidencijama poziva bez dobrog razloga. Pored toga, tehnikom koju koriste ove aplikacije može se doći i do jednokratnih kodova iz nekih sistema za dvofaktornu autentifikaciju koji koriste email za slanje kodova.

Google je ranije ove godine uveo ovo ograničenje, kako bi smanjio rizik od osetljivih dozvola tamo gde to nije potrebno. U teoriji, jedan od pozitivnih efekata je bio taj što su aplikacije čija je svrha krađa lozinki izgubile mogućnost zloupotrebe ovih dozvola sa ciljem zaobilaženja mehanizama dvofaktorne autentifikacije (2FA). To praktično znači da je pojačana zaštita kodova za dvofaktornu autentifikaciju (2FA) koji se šalju preko SMS poruka.

Sajber kriminalci su pronašli način da zaobiđu ovo ograničenje.

Od 7. juna do 13. juna na Google Play je postavljeno više zlonamernih aplikacija koje su imitirale tursku menjačnicu kriptovaluta BtcTurk.

Njihova svrha je bila krađa lozinki za prijavu na servis. Umesto presretanja SMS poruka da bi se zaobišla 2FA zaštita korisničkih računa i transakcija, ove maliciozne aplikacije kradu jednokratne kodove iz obaveštenja koja se pojavljuju na ekranu inficiranih uređaja. Osim čitanja 2FA obaveštenja, ove aplikacije takođe mogu da ih uklone sa ekrana i tako spreče žrtve da primete transakcije koje se dešavaju bez njihove dozvole.

Pošto pristup SMS porukama nije objašnjen nijednom od funkcija aplikacija, one traže dozvolu za proveru obaveštenja da bi ih kontrolisale.

“Ova dozvola omogućava aplikaciji da čita obaveštenja koje prikazuju druge aplikacije instalirane na uređaju, odbaci ova obaveštenja ili klikne na dugmad koja one sadrže", kaže Lukas Stefanko, istraživač Android malvera u ESET-u.

Stefanko kaže da je dve lažne BtcTurk aplikacije koje je otkrio pokrenuo na Android 5.0 (KitKat) i novijim verzijama Androida, što znači da mogu da utiču na 90% aktivnih Android uređaja.

Odmah nakon dobijanja dozvole za obaveštenja, zlonamerne aplikacije počinju fišing tako što prikazuju lažnu formu za prijavljivanje.

Kada se korisničko ime i lozinka pošalju napadačima, žrtva dobija poruku o grešci u kojoj se navodi da je došlo do problema zbog servisa za SMS verifikaciju i da će aplikacija objaviti obaveštenje kada servis bude u funkciji.

“Zahvaljujući dozvoli za pristup obaveštenjima, zlonamerna aplikacija može da čita obaveštenja koja dolaze od drugih aplikacija, uključujući SMS i email aplikacije. Aplikacija ima postavljene filtere da bi ciljala samo obaveštenja iz aplikacija čija imena sadrže ključne reči "gm, yandex, mail, k9 , outlook, sms, messaging”, objašnjava Stefanko.

Napadač dobija sadržaj prikazan u obaveštenjima iz svih ciljanih aplikacija. Na ovo ne utiče nijedno podešavanje koje korisnik odabere, kao što je skrivanje sadržaja kada je ekran zaključan.

Jedan nedostatak ove tehnike, ističe Stefanko, je što je na ovaj način moguće ukrasti samo tekst koji se staje u obaveštenje. Sve van njega ostaje skriveno za napadača. Iako ovo ne mora uvek uključivati jednokratni pristupni kod, haker bi bio uspešan u većini slučajeva.