Компания ESET предупредила о появлении вредоносных приложений для криптовалюты, которые используют новую технику обхода двухфакторной аутентификации на основе SMS-сообщений.
Так называемая двухфакторная аутентификация (2FA), представляющая собой дополнительный способ защиты, помимо обычного введения логина и пароля, на данный момент считается основным сдерживающим фактором от вмешательства злоумышленников. Выявленное специалистами ESET вредоносное программное обеспечение обходит процедуру 2FA, самостоятельно используя уведомление в виде одноразового пароля с заражённого устройства.
Приложение для Android под названием Koineks маскируется под программу для обмена криптовалюты и совершает кражу данных для входа в аккаунт. Это вредоносное приложение для Android было загружено в Google Play в мае 2019 и установлено более 100 пользователями перед удалением из магазина.
Вместо перехвата SMS-сообщений для обхода двухфакторной аутентификации программа получает одноразовый пароль (OTP) с уведомлений, которые отображаются на дисплее зараженного устройства. Таким образом, злоумышленникам удаётся обойти недавно введённые компанией Google ограничения доступа к SMS-уведомлений и журналам звонков в программах Android.
После установки и запуска вредоносная программа запрашивает разрешение под названием «Notification access», что позволяет ей просматривать содержимое всплывающих сообщений. Согласно исследованию ESET, злоумышленники специально нацелены на всплывающие SMS-сообщения или сообщения других программ.
«Одним из положительных последствий ограничений Google от марта 2019 было то, что вредоносные приложения для кражи учётных данных потеряли возможность использовать разрешения, которые давали возможность злоумышленникам перехватывать SMS во время процесса двухфакторной аутентификации. Однако обнаруженное вредоносное приложение для Android впервые с момента введения новой политики обходит введённые ограничения», – отметил сотрудник ESET Лукаш Штефанко.
Поскольку запуск программы Koineks возможен на устройствах версии 5.0 (KitKat), ПО представляет опасность для 90% пользователей Android.