华盟君引言“专家发现了一种绕过基于SMS的双因素身份验证的新技术,同时绕过了谷歌最近的SMS权限限制”
ESET的知名安全专家卢卡斯·斯特凡科(Lukas Stefanko)发现了一些模仿土耳其加密货币交易所BtcTurk的应用程序(名为BtcTurk Pro Beta和BtcTurk Pro Beta),试图窃取登录凭证。
为了窃取2FA otp,这些应用程序从服务中读取2FA通知中出现的凭据,而不是拦截发送它们的SMS消息,
Stefanko解释说,人们对比特币越来越感兴趣,与比特币价格的上涨有关。
“当谷歌在2019年3月限制Android应用程序使用短信和通话记录权限时,一个积极的影响是窃取身份的应用程序失去了滥用这些权限绕过基于短信的双因素认证(2FA)机制的选项。专家写道。
“我们现在发现,恶意应用程序可以在不使用短信权限的情况下访问SMS 2FA消息中的一次性密码(OTPs),绕过了谷歌最近的限制。”
当应用程序第一次执行时,它们会请求“通知访问”权限,该权限用于读取设备上安装的其他应用程序显示的通知,然后关闭这些通知,或者单击其中包含的按钮。
一旦该许可被授予这些应用程序,它们将显示一条假的登录消息,询问用户的BtcTurk登录凭证。一旦用户提供了凭证,应用程序就会显示一条错误消息。
“行动!由于短信验证系统的更改,我们暂时无法为我们的移动应用程序提供服务。维护工作完成后,将通过应用程序通知您。谢谢您的理解。(翻译自土耳其语)。
同时,服务的登录凭证被发送回攻击者的服务器。
此时,流氓应用程序利用通知访问权限读取所有传入通知并选择与感兴趣的应用程序相关的通知。这些应用程序读取与应用程序相关的通知,这些应用程序的名称包含关键字gm、yandex、mail、k9、outlook、SMS和messaging。这些通知被发送给攻击者,攻击者选择包含2FA中使用的一次性密码的通知。
“来自目标应用程序的所有通知的显示内容都被发送到攻击者的服务器。攻击者可以访问这些内容,而不管受害者在锁定屏幕上显示通知时使用的设置是什么。该应用程序背后的攻击者还可以拒绝接收通知,并将设备的铃声模式设置为静音,这可以防止受害者注意到欺诈交易的发生。”专家继续说。
此时,攻击者很容易在试图访问服务时冒充受害者。任何2FA OTP都可以从受害者的手机中退出并发送给攻击者,使用此方案的攻击者可以访问登录凭证和OTP,并可以使用它们访问账号。
ESET的专家对这种技术的迅速传播提出了警告,最近在土耳其Koineks交易所发生的针对用户的攻击中就发现了这种技术。ESET认为,这些袭击背后的威胁因素是相同的。
就在上周,我们分析了一个模仿土耳其加密货币交易所Koineks的恶意应用程序(感谢@DjoNn35让我们注意到这个应用程序)。有趣的是,这款假冒的Koineks应用程序使用了同样的恶意技术,绕过了基于短信和电子邮件的2FA,但缺乏关闭和静音通知的能力。”
根据我们的分析,它是由相同的攻击者创建的“BTCTurk Pro Beta”应用程序分析在这篇博客文章。这表明,攻击者目前正在调整这项技术,以达到窃取短信的“次优”效果。
专家们认为,骗子们将开始在包括银行和金融机构在内的其他行业使用这种技术打击目标。
