Les aplicacions de criptomoneda falsificades obvien la política de drets d'autor de Google

Els seus investigadors ESET han descobert aplicacions de criptomoneda falsificades que utilitzen una tècnica de bypass d'autenticació sense precedents 2FA basat en SMS, violant així les recents restriccions a les seves llicències d'SMS google.

Τel març de 2019, el google restringir l'ús de llicències per a missatges SMS i aplicacions de registre de trucades d'Android, per tal de protegir els usuaris d'aplicacions molestes amb finalitats il·legals.

Les aplicacions, anomenades "BTCTurk Pro Beta","BtcTurk Pro Beta" i "BTCTURK PRO"Imiteu l'intercanvi de criptomoneda turc BtcTurk i pesqueu les credencials de connexió al servei. Aquestes aplicacions malicioses no roben missatges SMS per obviar la protecció 2FA dels comptes i transaccions dels usuaris, sinó que obtenen el codi únic (OTP) de les notificacions que es mostren a la pantalla del dispositiu compromès. Però, a més de la possibilitat de "llegir" alertes 2FA, les aplicacions també les poden suprimir, cosa que dificulta que les víctimes detectin transaccions il·legals. Les tres aplicacions es van penjar a Google Joc al juny de 2019 i es van eliminar immediatament després de la seva actualització ESET.

Un cop instal·lades i executades, les aplicacions falsificades demanen permís per accedir a les notificacions. A continuació, poden llegir les notificacions que mostren altres aplicacions instal·lades al dispositiu, rebutjar-les o fer clic als botons que les contenen. Segons l'anàlisi d'ESET, els ciberdelinqüents darrere d'aquestes aplicacions es dirigeixen específicament a les notificacions d'aplicacions de correu electrònic i SMS.

«Gràcies a les restriccions imposades per Google el març de 2019, les aplicacions que robaven les credencials d'inici de sessió havien perdut la capacitat d'abusar de les llicències que necessitaven per evitar les 2FA basades en SMS. Tanmateix, en descobrir aquestes aplicacions falses, vam veure per primera vegada un programari maliciós que passava per alt aquesta restricció dels permisos d'SMS.Va dir l'investigador d'ESET i autor de l'estudi, Lukáš ftefanko.

El dret d'accés a les notificacions va aparèixer per primera vegada a la versió d'Android de Jelly Bean 4.3, el que significa que gairebé tots els dispositius Android actius són vulnerables a aquesta nova tècnica. Les aplicacions falses de BtcTurk es poden executar a la versió d'Android 5.0 (KitKat) i superior. Això pràcticament significa que afecten al voltant del 90% dels dispositius Android.

Aquesta tècnica té algunes limitacions en la seva eficàcia per eludir la certificació 2FA: els intrusos només tenen accés al text que coincideix amb el camp de text de l'alerta, de manera que no és segur que el text contingui el codi OTP. En els SMS per a 2FA, els missatges són generalment curts i és probable que els codis OTP coincideixin amb el missatge d'alerta. No obstant això, als correus electrònics 2FA, la longitud i el format del missatge és més variat, possiblement afectant l'accés a les dades dels delictes cibernètics.

Η ESET insta els usuaris sospitosos d'utilitzar una d'aquestes aplicacions malicioses a desinstal·lar-les immediatament comprovant si hi ha transaccions sospitoses al seu compte. Per mantenir-se segur de qualsevol programari maliciós a Android, ESET ofereix els següents consells:

• Només confieu en aplicacions de criptomoneda i serveis financers si estan enllaçats al seu lloc web oficial.
• Introduïu la vostra informació sensible en formularis electrònics només si esteu segur de la seva seguretat i legalitat.
• Manteniu el vostre dispositiu actualitzat.
• Utilitzeu una solució de seguretat mòbil de confiança per bloquejar i eliminar amenaces.
• Preferiu els serveis basats en codis basats en programari (OTP) o els serveis basats en testimonis que els SMS o el correu electrònic.
• Utilitzeu només aplicacions de confiança, però encara així, permeteu-los accedir a les notificacions només si hi ha una bona raó.

Font