החוקרים שלה ESET גילו יישומי מטבע קריפטוגרפי מזויפים המשתמשים בטכניקת עקיפת אימות חסרת תקדים 2FA מבוסס על SMS, ובכך מפר את ההגבלות האחרונות על רישיונות ה-SMS שלה Google.
Τבמרץ 2019, ה Google להגביל את השימוש ברישיונות עבור הודעות SMS ויומן שיחות באפליקציות אנדרואיד, על מנת להגן על המשתמשים מפני אפליקציות מטרידות עם מטרות לא חוקיות.
היישומים, הנקראים "BTCTurk Pro Beta""BtcTurk Pro Beta"ו"BTCTURK PRO"חקה את בורסת המטבעות הקריפטוגרפיים הטורקית BtcTurk ו"דגים" אישורי חיבור בשירות. אפליקציות זדוניות אלו אינן גונבות הודעות SMS כדי לעקוף הגנה 2FA על חשבונות המשתמשים והעסקאות, במקום זאת, הן משיגות את הקוד החד-פעמי (OTP) מההתראות המוצגות על מסך המכשיר שנפרץ. אבל בנוסף ליכולת "לקרוא" התראות 2FA, אפליקציות יכולות גם למחוק אותן, מה שמקשה על הקורבנות לזהות עסקאות לא חוקיות. כל שלוש האפליקציות הועלו ל Play Google ביוני 2019 והוסרו מיד לאחר העדכון שלו ESET.
לאחר התקנה והפעלה, יישומים מזויפים מבקשים הרשאה לגשת להודעות. לאחר מכן הם יכולים לקרוא התראות המוצגות על ידי אפליקציות אחרות המותקנות במכשיר, לדחות אותן או ללחוץ על כפתורים המכילים אותן. לפי ניתוח ESET, פושעי הסייבר שמאחורי יישומים אלה מכוונים ספציפית להודעות מיישומי SMS ודוא"ל.
«הודות להגבלות שהטילה גוגל במרץ 2019, יישומים שגנבו אישורי כניסה איבדו את היכולת לעשות שימוש לרעה ברישיונות הדרושים להם כדי לעקוף 2FAs מבוססי SMS. עם זאת, כשגילינו את היישומים המזויפים הללו, ראינו לראשונה תוכנה זדונית עוקפת את ההגבלה הזו על הרשאות SMSאמר חוקר ESET ומחבר המחקר, Lukáš ftefanko.
זכות הגישה להודעות הופיעה לראשונה בגרסת אנדרואיד של Jelly Bean 4.3, מה שאומר שכמעט כל מכשירי האנדרואיד הפעילים חשופים לטכניקה החדשה הזו. יישומי BtcTurk מזויפים יכולים לפעול בגרסה 5.0 של אנדרואיד (KitKat) ומעלה. זה אומר למעשה שהם משפיעים על כ-90% ממכשירי האנדרואיד.
לטכניקה זו יש מגבלות מסוימות ביעילותה בעקיפת אישור 2FA – לפולשים יש גישה רק לטקסט התואם לשדה הטקסט של ההתראה, כך שלא בטוח שהטקסט יכיל את קוד ה-OTP. ב-SMS עבור 2FA, ההודעות בדרך כלל קצרות וסביר להניח שקודי ה-OTP יתאימו להודעת ההתראה. עם זאת, בדוא"ל 2FA, האורך והפורמט של ההודעה מגוונים יותר, מה שעשוי להשפיע על הגישה של פשעי סייבר לנתונים.
Η ESET קורא למשתמשים החשודים בשימוש באחת מהיישומים הזדוניים הללו להסיר אותם מיד על ידי בדיקת חשבונם לאיתור עסקאות חשודות. כדי להישאר בטוח בדרך כלל מכל תוכנה זדונית באנדרואיד, ESET מציעה את הטיפים הבאים:
- סמוך רק על יישומי cryptocurrency ושירותים פיננסיים אם מקושרים לאתר הרשמי שלהם.
- הזן את המידע הרגיש שלך בטפסים אלקטרוניים רק אם אתה בטוח באבטחתם ובחוקיותם.
- שמור את המכשיר שלך מעודכן.
- השתמש בפתרון אבטחה נייד מהימן כדי לחסום ולהסיר איומים.
- העדיפו שירותים מבוססי קוד (OTP) או שירותים מבוססי אסימון על פני SMS או דואר אלקטרוני.
- השתמש רק ביישומים מהימנים, אבל גם אז אפשר להם לגשת להודעות רק אם יש סיבה טובה.
Μאל תשכחו להצטרף (להירשם) לפורום שלנו, מה שניתן לעשות בקלות רבה על ידי הכפתור הבא...
(אם כבר יש לך חשבון בפורום שלנו אינך צריך להיכנס לקישור ההרשמה)
עקבו אחרינו בטלגרם!
