Аналитики охранной фирмы ESET обнаружили, что мошеннические криптографические приложения используют метод обхода механизмов аутентификации в Google.
Google недавно ввела ограничения на SMS и призывы к приложениям для Android, чтобы предотвратить их использование незаконными фирмами.
Упомянутые приложения под названием BTCTurk Pro Beta, BtcTurk Pro Beta и BTCTURK PRO создали впечатление законной турецкой криптофирмы — BtcTurk — для получения доступа к услугам.
Как только пользователь загружает мошеннические версии приложений BtcTurk, они запрашивают у пользователя доступ к уведомлениям. После этого приложения могут просматривать уведомления от других приложений на устройстве пользователя и использовать их для собственной финансовой выгоды.
«Одним из положительных эффектов ограничений Google от марта 2019 года стало то, что приложения для кражи dent лишились возможности злоупотреблять этими разрешениями для обхода механизмов 2FA на основе SMS. Однако с обнаружением этих поддельных приложений мы стали свидетелями первого вредоносного ПО, обходящего это ограничение разрешений на использование SMS», — сказал Лукаш Штефанко, исследователь из ESET.
Функция уведомлений была недавно реализована в версии Android Jelly Bean 4.3, что означает, что почти все современные устройства Android могут стать жертвами мошеннических методов вторжения. Мошеннические приложения BtcTurk могут работать на подавляющем большинстве современных устройств Android.
Несмотря на это, предпочтительный метод вторжения поддельных приложений имеет свои недостатки: операторы мошенников могут получить доступ только к контенту, который соответствует текстовому полю.
Это означает, что не весь текст будет включен в одноразовый пароль. Сообщения, которые короче и лаконичнее, скорее всего, будут исключены из сообщения уведомления.