Android malver zaobilazi dvofaktornu autentifikaciju da bi ukrao jednokratne lozinke
Mobilni telefoni, 20.06.2019, 10:00 AM

Istraživači iz kompanije ESET otkrili su zlonamerne aplikacije koje mogu da pristupaju jednokratnim lozinkama u SMS 2FA porukama bez dozvola za pristup SMS porukama. Ove aplikacije zaobilaze Googleovu zabranu aplikacija koje pristupaju SMS porukama i evidencijama poziva bez dobrog razloga. Pored toga, tehnikom koju koriste ove aplikacije može se doći i do jednokratnih kodova iz nekih sistema za dvofaktornu autentifikaciju koji koriste email za slanje kodova.
Google je ranije ove godine uveo ovo ograničenje, kako bi smanjio rizik od osetljivih dozvola tamo gde to nije potrebno. U teoriji, jedan od pozitivnih efekata je bio taj što su aplikacije čija je svrha krađa lozinki izgubile mogućnost zloupotrebe ovih dozvola sa ciljem zaobilaženja mehanizama dvofaktorne autentifikacije (2FA). To praktično znači da je pojačana zaštita kodova za dvofaktornu autentifikaciju (2FA) koji se šalju preko SMS poruka.
Sajber kriminalci su pronašli način da zaobiđu ovo ograničenje.
Od 7. juna do 13. juna na Google Play je postavljeno više zlonamernih aplikacija koje su imitirale tursku menjačnicu kriptovaluta BtcTurk.
Njihova svrha je bila krađa lozinki za prijavu na servis. Umesto presretanja SMS poruka da bi se zaobišla 2FA zaštita korisničkih računa i transakcija, ove maliciozne aplikacije kradu jednokratne kodove iz obaveštenja koja se pojavljuju na ekranu inficiranih uređaja. Osim čitanja 2FA obaveštenja, ove aplikacije takođe mogu da ih uklone sa ekrana i tako spreče žrtve da primete transakcije koje se dešavaju bez njihove dozvole.
Pošto pristup SMS porukama nije objašnjen nijednom od funkcija aplikacija, one traže dozvolu za proveru obaveštenja da bi ih kontrolisale.
“Ova dozvola omogućava aplikaciji da čita obaveštenja koje prikazuju druge aplikacije instalirane na uređaju, odbaci ova obaveštenja ili klikne na dugmad koja one sadrže", kaže Lukas Stefanko, istraživač Android malvera u ESET-u.
Stefanko kaže da je dve lažne BtcTurk aplikacije koje je otkrio pokrenuo na Android 5.0 (KitKat) i novijim verzijama Androida, što znači da mogu da utiču na 90% aktivnih Android uređaja.
Odmah nakon dobijanja dozvole za obaveštenja, zlonamerne aplikacije počinju fišing tako što prikazuju lažnu formu za prijavljivanje.
Kada se korisničko ime i lozinka pošalju napadačima, žrtva dobija poruku o grešci u kojoj se navodi da je došlo do problema zbog servisa za SMS verifikaciju i da će aplikacija objaviti obaveštenje kada servis bude u funkciji.
“Zahvaljujući dozvoli za pristup obaveštenjima, zlonamerna aplikacija može da čita obaveštenja koja dolaze od drugih aplikacija, uključujući SMS i email aplikacije. Aplikacija ima postavljene filtere da bi ciljala samo obaveštenja iz aplikacija čija imena sadrže ključne reči "gm, yandex, mail, k9 , outlook, sms, messaging”, objašnjava Stefanko.
Napadač dobija sadržaj prikazan u obaveštenjima iz svih ciljanih aplikacija. Na ovo ne utiče nijedno podešavanje koje korisnik odabere, kao što je skrivanje sadržaja kada je ekran zaključan.
Jedan nedostatak ove tehnike, ističe Stefanko, je što je na ovaj način moguće ukrasti samo tekst koji se staje u obaveštenje. Sve van njega ostaje skriveno za napadača. Iako ovo ne mora uvek uključivati jednokratni pristupni kod, haker bi bio uspešan u većini slučajeva.

Izdvojeno
Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Zamislite da ste negde u gradu, telefon vam pokazuje pun signal, ali vi ste zapravo povezani na lažnu mrežu koja može da vas špijunira. Zvuči kao... Dalje
Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

U eri kada sve više ljudi koristi VPN servise da bi zaštitili svoju privatnost, pojavljuju se ozbiljna upozorenja da neki od tih alata, naročito ak... Dalje
U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute
.png)
Istraživači kompanije Kaspersky otkrili su novi mobilni malver za krađu kriptovaluta pod nazivom SparkKitty. Malver je pronađen u aplikacijama u z... Dalje
Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku naz... Dalje
Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina (44%) korisnika mobilnih telefona navodi da su svakodnevno izloženi prevarama i pretnjama, a većina je zabrinuta zbog gubitka važni... Dalje
Pratite nas
Nagrade