Android malver zaobilazi dvofaktornu autentifikaciju da bi ukrao jednokratne lozinke
Mobilni telefoni, 20.06.2019, 10:00 AM

Istraživači iz kompanije ESET otkrili su zlonamerne aplikacije koje mogu da pristupaju jednokratnim lozinkama u SMS 2FA porukama bez dozvola za pristup SMS porukama. Ove aplikacije zaobilaze Googleovu zabranu aplikacija koje pristupaju SMS porukama i evidencijama poziva bez dobrog razloga. Pored toga, tehnikom koju koriste ove aplikacije može se doći i do jednokratnih kodova iz nekih sistema za dvofaktornu autentifikaciju koji koriste email za slanje kodova.
Google je ranije ove godine uveo ovo ograničenje, kako bi smanjio rizik od osetljivih dozvola tamo gde to nije potrebno. U teoriji, jedan od pozitivnih efekata je bio taj što su aplikacije čija je svrha krađa lozinki izgubile mogućnost zloupotrebe ovih dozvola sa ciljem zaobilaženja mehanizama dvofaktorne autentifikacije (2FA). To praktično znači da je pojačana zaštita kodova za dvofaktornu autentifikaciju (2FA) koji se šalju preko SMS poruka.
Sajber kriminalci su pronašli način da zaobiđu ovo ograničenje.
Od 7. juna do 13. juna na Google Play je postavljeno više zlonamernih aplikacija koje su imitirale tursku menjačnicu kriptovaluta BtcTurk.
Njihova svrha je bila krađa lozinki za prijavu na servis. Umesto presretanja SMS poruka da bi se zaobišla 2FA zaštita korisničkih računa i transakcija, ove maliciozne aplikacije kradu jednokratne kodove iz obaveštenja koja se pojavljuju na ekranu inficiranih uređaja. Osim čitanja 2FA obaveštenja, ove aplikacije takođe mogu da ih uklone sa ekrana i tako spreče žrtve da primete transakcije koje se dešavaju bez njihove dozvole.
Pošto pristup SMS porukama nije objašnjen nijednom od funkcija aplikacija, one traže dozvolu za proveru obaveštenja da bi ih kontrolisale.
“Ova dozvola omogućava aplikaciji da čita obaveštenja koje prikazuju druge aplikacije instalirane na uređaju, odbaci ova obaveštenja ili klikne na dugmad koja one sadrže", kaže Lukas Stefanko, istraživač Android malvera u ESET-u.
Stefanko kaže da je dve lažne BtcTurk aplikacije koje je otkrio pokrenuo na Android 5.0 (KitKat) i novijim verzijama Androida, što znači da mogu da utiču na 90% aktivnih Android uređaja.
Odmah nakon dobijanja dozvole za obaveštenja, zlonamerne aplikacije počinju fišing tako što prikazuju lažnu formu za prijavljivanje.
Kada se korisničko ime i lozinka pošalju napadačima, žrtva dobija poruku o grešci u kojoj se navodi da je došlo do problema zbog servisa za SMS verifikaciju i da će aplikacija objaviti obaveštenje kada servis bude u funkciji.
“Zahvaljujući dozvoli za pristup obaveštenjima, zlonamerna aplikacija može da čita obaveštenja koja dolaze od drugih aplikacija, uključujući SMS i email aplikacije. Aplikacija ima postavljene filtere da bi ciljala samo obaveštenja iz aplikacija čija imena sadrže ključne reči "gm, yandex, mail, k9 , outlook, sms, messaging”, objašnjava Stefanko.
Napadač dobija sadržaj prikazan u obaveštenjima iz svih ciljanih aplikacija. Na ovo ne utiče nijedno podešavanje koje korisnik odabere, kao što je skrivanje sadržaja kada je ekran zaključan.
Jedan nedostatak ove tehnike, ističe Stefanko, je što je na ovaj način moguće ukrasti samo tekst koji se staje u obaveštenje. Sve van njega ostaje skriveno za napadača. Iako ovo ne mora uvek uključivati jednokratni pristupni kod, haker bi bio uspešan u većini slučajeva.

Izdvojeno
Na brojnim hakerskim forumima prodaje se novi bankarski trojanac za Android

Na hakerskim forumima prodaje se novi bankarski trojanac za Android pod nazivom Nexus koji cilja 450 finansijskih aplikacija. Analitičari italijanske... Dalje
Googleovi istraživači upozoravaju na opasne ranjivosti Samsungovih telefona koje hakeri mogu daljinski i neprimetno hakovati

Project Zero, Googleov tim koji se bavi bezbednosnim istraživanjima, otkrio je ranjivosti u Samsung modemima za uređaje poput Pixel 6, Pixel 7 i Gal... Dalje
Zašto bi umesto dvofaktorne autentifikacije sa SMS-om trebalo da koristite pouzdanu aplikaciju

Dvofaktorska autentifikacija (2FA) postala je imperativ u današnjem digitalnom svetu, pošto su kriminalci naučili da kompromituju skoro svaku lozin... Dalje
Bankovni trojanac za Android Xenomorph se vratio sa novom verzijom, i sada je opasniji nego ikada pre

Istraživači holandske kompanije ThreatFabric primetili su novu verziju bankovnog trojanca za Android Xenomorph, koju su njeni tvorci, Hadoken Securi... Dalje
Aplikacija kineskog modnog brenda Shein uhvaćena kako na Androidu radi nešto što ne bi smela

Shein, kineski modni brend, ponovo se našao pod lupom, nakon što je otkriveno da stara verzija njegove mobilne aplikacije povremeno pristupa sadrža... Dalje
Pratite nas
Nagrade