Analistas da empresa de segurança ESET descobriram que aplicativos criptográficos fraudulentos têm empregado um método para contornar os mecanismos de autenticação no Google.
O Google impôs recentemente restrições ao SMS e ao uso de aplicativos Android para evitar que empresas ilícitas os explorassem.
Os referidos aplicativos, denominados BTCTurk Pro Beta, BtcTurk Pro Beta e BTCTURK PRO, criaram impressões de uma empresa de criptografia turca legítima – BtcTurk – para obter acesso aos serviços.
Depois que as versões fraudulentas dos aplicativos BtcTurk são baixadas por um usuário, elas solicitam acesso de notificação do usuário. Ao fazer isso, os aplicativos podem ler notificações de outros aplicativos no dispositivo do usuário e explorá-los para obter ganhos financeiros.
“Um dos efeitos positivos das restrições do Google a partir de março de 2019 foi que os aplicativos de dent de credenciais perderam a opção de abusar dessas permissões para contornar mecanismos 2FA baseados em SMS. No entanto, com a descoberta destas aplicações falsas, vimos agora o primeiro malware a contornar esta restrição de permissão de SMS”, disse Lukáš Štefanko, investigador da ESET.
O recurso de notificação foi implementado recentemente na versão Jelly Bean 4.3 do Android, o que significa que quase todos os dispositivos Android atuais podem ser vítimas dos métodos de intrusão do golpe. Os aplicativos fraudulentos do BtcTurk podem operar na grande maioria dos dispositivos Android da época.
Apesar disso, a técnica de invasão preferida dos aplicativos falsos apresenta seus contratempos: os operadores do golpe só podem obter acesso ao conteúdo que cabe no campo de texto.
Isso significa que nem todo o texto será incluído no OTP. Mensagens mais curtas e concisas provavelmente serão deixadas de fora da mensagem de notificação.
