Phân tích ESET phát hiện ra một kỹ thuật mới bỏ qua xác thực hai yếu tố dựa trên SMS trong khi phá vỡ các hạn chế quyền SMS gần đây của Google [[9009004]

Khi Google hạn chế sử dụng quyền SMS và Nhật ký cuộc gọi trong ứng dụng Android vào tháng 3 năm 2019, một trong những tác động tích cực là các ứng dụng đánh cắp thông tin đã mất tùy chọn lạm dụng các quyền này để bỏ qua các quyền dựa trên SMS cơ chế xác thực hai yếu tố (2FA).

Chúng tôi hiện đã phát hiện ra các ứng dụng độc hại có khả năng truy cập mật khẩu một lần (OTP) trong tin nhắn SMS 2FA mà không sử dụng quyền SMS, tránh các hạn chế gần đây của Google. Như một phần thưởng, kỹ thuật này cũng hoạt động để có được OTP từ một số hệ thống 2FA dựa trên email.

Các ứng dụng mạo danh trao đổi tiền điện tử Thổ Nhĩ Kỳ BtcTurk và lừa đảo để đăng nhập thông tin đăng nhập vào dịch vụ. Thay vì chặn tin nhắn SMS để vượt qua sự bảo vệ 2FA trên tài khoản và giao dịch của người dùng, các ứng dụng độc hại này lấy OTP từ các thông báo xuất hiện trên màn hình hiển thị của thiết bị bị xâm phạm. Bên cạnh việc đọc các thông báo 2FA, các ứng dụng cũng có thể loại bỏ chúng để ngăn nạn nhân nhận thấy các giao dịch gian lận xảy ra.

Phần mềm độc hại, tất cả các dạng được phát hiện bởi các sản phẩm ESET là Android / FakeApp.KP, là phần mềm đầu tiên được biết là vượt qua các hạn chế cấp phép SMS mới.

Ứng dụng độc hại đầu tiên mà chúng tôi phân tích đã được tải lên Google Play vào ngày 7 tháng 6 năm 2019 với tên là BTC BTCTurk Pro Beta, dưới tên nhà phát triển là BTC BTCTurk Pro Beta. Nó đã được cài đặt bởi hơn 50 người dùng trước khi được ESET báo cáo cho các nhóm bảo mật của Google. BtcTurk là một trao đổi tiền điện tử của Thổ Nhĩ Kỳ; ứng dụng di động chính thức của nó được liên kết trên trang web trao đổi và chỉ có sẵn cho người dùng ở Thổ Nhĩ Kỳ.

Ứng dụng thứ hai được tải lên vào ngày 11 tháng 6 năm 2019 với tên là Bt BtcTurk Pro Beta tựa dưới tên nhà phát triển là Bt BtSoft. Mặc dù hai ứng dụng sử dụng một chiêu bài rất giống nhau, nhưng chúng dường như là công việc của những kẻ tấn công khác nhau. Chúng tôi đã báo cáo ứng dụng vào ngày 12 tháng 6 năm 2019 khi nó được cài đặt bởi ít hơn 50 người dùng.

Sau khi ứng dụng thứ hai này bị xóa, những kẻ tấn công tương tự đã tải lên một ứng dụng khác có chức năng giống hệt nhau, lần này có tên là BTC BTCTURK PRO Cuộc và sử dụng cùng tên nhà phát triển, biểu tượng và ảnh chụp màn hình. Chúng tôi đã báo cáo ứng dụng vào ngày 13 tháng 6 năm 2019.

Hình 1 cho thấy hai ứng dụng độc hại đầu tiên khi chúng xuất hiện trên Google Play.

Hình 1. Ứng dụng BtcTurk giả trên Google Play

Sau khi cài đặt, cả hai ứng dụng được mô tả trong phần trước đều tuân theo quy trình tương tự. Trong phần này của blogpost, chúng tôi sẽ mô tả kỹ thuật bỏ qua 2FA mới lạ bằng cách sử dụng ứng dụng đầu tiên, BTC BTCTurk Pro Beta, làm ví dụ.

Sau khi ứng dụng được khởi chạy, nó yêu cầu quyền có tên Truy cập thông báo như trong Hình 2. Quyền này cho phép ứng dụng đọc các thông báo được hiển thị bởi các ứng dụng khác được cài đặt trên thiết bị, loại bỏ các thông báo đó hoặc nhấp vào nút mà chúng chứa.

Hình 2. Ứng dụng giả yêu cầu truy cập Thông báo

Quyền truy cập thông báo đã được giới thiệu trong phiên bản Android 4.3 (Jelly Bean), có nghĩa là hầu như tất cả các thiết bị Android đang hoạt động đều nhạy cảm với kỹ thuật mới này. Cả hai ứng dụng BtcTurk giả đều yêu cầu Android phiên bản 5.0 (KitKat) trở lên để chạy; do đó, chúng có thể ảnh hưởng đến khoảng 90% thiết bị Android.

Khi người dùng cấp quyền này, ứng dụng sẽ hiển thị một biểu mẫu đăng nhập giả yêu cầu thông tin đăng nhập cho BtcTurk, như trong Hình 3.

Hình 3. Biểu mẫu đăng nhập giả được hiển thị bởi ứng dụng độc hại

Sau khi thông tin đăng nhập được nhập, một thông báo lỗi giả bằng tiếng Thổ Nhĩ Kỳ được hiển thị, như trong Hình 4. Bản dịch tiếng Anh của tin nhắn là: Hồi Opss! Do sự thay đổi được thực hiện trong hệ thống Xác minh SMS, chúng tôi tạm thời không thể phục vụ ứng dụng di động của mình. Sau khi bảo trì, bạn sẽ được thông báo qua ứng dụng. Cảm ơn sự hiểu biết của bạn . Quên

Trong nền, thông tin đăng nhập được gửi đến máy chủ Kẻ tấn công.

Hình 4. Thông báo lỗi giả được hiển thị bởi ứng dụng độc hại

Nhờ có quyền Quyền truy cập thông báo ứng dụng độc hại có thể đọc thông báo đến từ các ứng dụng khác, bao gồm cả ứng dụng SMS và email. Ứng dụng này có các bộ lọc để chỉ nhắm mục tiêu thông báo từ các ứng dụng có tên chứa từ khóa gm, yandex, mail, k9, triển vọng, sms, nhắn tin, như trong Hình 5.

Hình 5. Tên và loại ứng dụng được nhắm mục tiêu

Nội dung được hiển thị của tất cả các thông báo từ các ứng dụng được nhắm mục tiêu được gửi đến máy chủ Kẻ tấn công. Những kẻ tấn công có thể truy cập nội dung bất kể cài đặt nạn nhân sử dụng để hiển thị thông báo trên màn hình khóa. Những kẻ tấn công đằng sau ứng dụng này cũng có thể loại bỏ các thông báo đến và đặt chế độ rung chuông của thiết bị thành im lặng, điều này có thể ngăn nạn nhân nhận thấy các giao dịch gian lận xảy ra.

Về tính hiệu quả trong việc bỏ qua 2FA, kỹ thuật này cũng có những hạn chế – kẻ tấn công chỉ có thể truy cập vào văn bản phù hợp với trường văn bản thông báo, và do đó, không đảm bảo nó sẽ bao gồm OTP. Tên ứng dụng được nhắm mục tiêu cho chúng tôi thấy rằng cả SMS và email 2FA đều đáng quan tâm đối với những kẻ tấn công đằng sau phần mềm độc hại này. Trong SMS 2FA, các tin nhắn thường ngắn và OTP có thể phù hợp với tin nhắn thông báo. Tuy nhiên, trong email 2FA, độ dài và định dạng thư khác nhau hơn nhiều, có khả năng ảnh hưởng đến kẻ tấn công Truy cập vào OTP.

Mới tuần trước, chúng tôi đã phân tích một ứng dụng độc hại mạo danh trao đổi tiền điện tử Thổ Nhĩ Kỳ Koineks (kudos đến @ DjoNn35 để đưa ứng dụng đó đến sự chú ý của chúng tôi). Điều đáng quan tâm là ứng dụng Koineks giả mạo sử dụng cùng một kỹ thuật độc hại để vượt qua SMS và 2FA dựa trên email nhưng thiếu khả năng loại bỏ và tắt thông báo.

Theo phân tích của chúng tôi, nó được tạo ra bởi cùng một kẻ tấn công như ứng dụng BTC BTCTurk Pro Betaật được phân tích trong blog này. Điều này cho thấy những kẻ tấn công hiện đang làm việc để điều chỉnh kỹ thuật này để đạt được kết quả tốt nhất tiếp theo của Bỉ để đánh cắp các tin nhắn SMS.

Hình 6. Thông tin về ứng dụng Koineks giả trên Google Play

Nếu bạn nghi ngờ rằng bạn đã cài đặt và sử dụng một trong những ứng dụng độc hại này, chúng tôi khuyên bạn nên gỡ cài đặt ngay lập tức. Kiểm tra tài khoản của bạn để biết hoạt động đáng ngờ và thay đổi mật khẩu của bạn.

Tháng trước, chúng tôi đã cảnh báo về giá bitcoin ngày càng tăng dẫn đến một làn sóng phần mềm độc hại tiền điện tử mới trên Google Play. Phát hiện mới nhất này cho thấy kẻ gian đang tích cực tìm kiếm các phương pháp phá vỡ các biện pháp bảo mật để tăng cơ hội thu lợi từ sự phát triển.

Để giữ an toàn trước kỹ thuật mới này và phần mềm độc hại tài chính Android nói chung:

  • Chỉ tin tưởng các ứng dụng tài chính liên quan đến tiền điện tử và các ứng dụng tài chính khác nếu chúng được liên kết từ trang web chính thức của dịch vụ
  • Chỉ nhập thông tin nhạy cảm của bạn vào các biểu mẫu trực tuyến nếu bạn chắc chắn về tính bảo mật và tính hợp pháp của chúng
  • Giữ cho thiết bị của bạn được cập nhật
  • Sử dụng giải pháp bảo mật di động có uy tín để chặn và loại bỏ các mối đe dọa; Các hệ thống ESET phát hiện và chặn các ứng dụng độc hại này dưới dạng Android / FakeApp.KP
  • Bất cứ khi nào có thể, hãy sử dụng trình tạo mật khẩu một lần dựa trên phần mềm hoặc mã thông báo phần cứng (OTP) thay vì SMS hoặc email
  • Chỉ sử dụng các ứng dụng mà bạn cho là đáng tin cậy và thậm chí sau đó: chỉ cho phép Truy cập thông báo cho những ứng dụng có lý do chính đáng để yêu cầu
Tên gói Hash Tên phát hiện ESET ]
btcturk.pro.beta 8C93CF8859E3ED350B7C8722E4A8F9A3
com.app.btsoft.app 843368F274898B9EF9CD3E952EEB16C4 Android / FakeApp.KP
com.app.elipticsoft.app 336CE9CDF788228A71A3757558FAA012 Android / FakeApp.KP
com.koinks.mobilpro 4C0B9A665A5A1F5DCCB67CC7EC18DA54 Android / FakeApp.KP

phần mềm độc hại mạo danh các dịch vụ hợp pháp trên Google Play.

Chiến thuật ID Tên ] Mô tả
Truy cập ban đầu T1485 Cung cấp ứng dụng độc hại thông qua Cửa hàng ứng dụng được ủy quyền
Truy cập thông tin xác thực T1411 Phần mềm giả mạo giao diện người dùng Phần mềm độc hại hiển thị hoạt động lừa đảo





nguon http://feedproxy.google.com/~r/eset/blog/~3/TAl3S0cL5zI/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây