Les analystes de la société de sécurité ESET ont découvert que des applications cryptographiques frauduleuses utilisaient une méthode pour contourner les mécanismes d'authentification sur Google.
Google avait récemment imposé des restrictions sur les SMS et réclamé des applications Android pour empêcher les entreprises illicites de les exploiter.
Lesdites applications, nommées BTCTurk Pro Beta, BtcTurk Pro Beta et BTCTURK PRO avaient créé des impressions d'une entreprise de cryptographie turque légitime - BtcTurk - pour accéder aux services.
Une fois que les versions frauduleuses des applications BtcTurk sont téléchargées par un utilisateur, elles demandent un accès de notification à l'utilisateur. Ce faisant, les applications peuvent parcourir les notifications d'autres applications sur l'appareil de l'utilisateur et les exploiter pour leur propre gain financier.
"L'un des effets positifs des restrictions de Google à partir de mars 2019 a été que les applications de vol d'identifiants ont perdu la possibilité d'abuser de ces autorisations pour contourner les mécanismes dent basés sur SMS. Cependant, avec la découverte de ces fausses applications, nous avons maintenant vu le premier malware contourner cette restriction d'autorisation SMS », a déclaré Lukáš Štefanko, chercheur d'ESET.
La fonction de notification a été implémentée récemment dans la version Jelly Bean 4.3 d'Android, ce qui signifie que presque tous les appareils Android actuels pourraient être la proie des méthodes d'intrusion de l'escroquerie. Les applications frauduleuses de BtcTurk pourraient fonctionner sur une grande majorité d'appareils Android d'aujourd'hui.
Malgré cela, la technique d'intrusion préférée des fausses applications a ses inconvénients : les opérateurs de l'escroquerie ne peuvent accéder qu'au contenu qui correspond au champ de texte.
Cela signifie que tout le texte ne sera pas inclus dans l'OTP. Les messages plus courts et plus concis seront probablement omis du message de notification.
