Kui Google piiras 2011. aasta märtsis Android-rakendustes SMS- ja kõnelogi lubade kasutamist, oli üks positiivseid mõjusid selles, et volituste varastamise rakendused kaotasid võimaluse kuritarvitada neid õigusi SMS-põhiste kahefaktoriliste autentimismehhanismide (2FA) ületamiseks.
Oleme nüüd avastanud pahatahtlikud rakendused, mis on võimelised SMS-i 2FA sõnumites kasutama ühekordseid paroole ilma SMS-i õigusi kasutamata, vältides Google hiljutisi piiranguid. Boonusena töötab see tehnika ka OTP-de hankimiseks mõnest e-posti põhisest 2FA süsteemist.
Rakendused matkivad Türgi krüptoraha vahetust BtcTurk ja andmepüügiks teenuse sisselogimist. Selle asemel, et SMS sõnumeid kasutajate kontodel ja tehingutel 2FA kaitsest kõrvale hoida, kasutavad need pahatahtlikud rakendused ohustatud seadme ekraanil ilmuvatest teatistest ühekordset parooli (OTP). Lisaks 2FA teatiste lugemisele võivad rakendused neid ka alles jätta, et vältida ohvrite petutehingute täheldamist.
See pahavara, mille kõik vormid tuvastatakse ESET-toodete poolt Android / FakeApp.KP-na, on teadaolevalt esimene, mis uue SMS-i luba piirab.
Pahatahtlikud rakendused
Esimene meie poolt analüüsitud pahatahtlikest rakendustest laaditi Google Playsse 7. juunil 2019 kui “BTCTurk Pro Beta”, arendaja nimega “BTCTurk Pro Beta” . Selle oli installeerinud rohkem kui 50 kasutajat, enne kui ESET teatas Google turvameeskondadele. BtcTurk on Türgi krüptorahavahetus; selle ametlik mobiilirakendus on seotud vahetuse veebilehega ja on kättesaadav ainult Türgi kasutajatele.
Teine rakendus laaditi üles 1. juunil 2019 kui “BtcTurk Pro Beta”, arendaja nimega „BtSoft” . Kuigi mõlemad rakendused kasutavad väga sarnast maskeeringut, näivad nad olevat erinevate ründajate töö. Me teatasime rakendusest 12. juunil 2019, kui selle oli alla laadinud vähem kui 50 kasutajat.
Pärast teise rakenduse eemaldamist, laadisid samad ründajad üles samasuguse funktsionaalsusega järgmise rakenduse, seekord nimega “BTCTURK PRO” ja kasutades sama arendaja nime, ikooni ja ekraanikuvasid. Me teatasime rakendusest 13. juunil 2019.
Joonisel 1 on näidatud kaks esimest pahatahtlikku Google Plays ilmunud rakendust.
Joonis 1. Võltsitud BtcTurk rakendused Google Plays
Uus 2FA möödaminemise tehnika
Pärast paigaldamist järgivad mõlemad eelmises osas kirjeldatud rakendused sarnast protseduuri. Selles blogipostituse osas kirjeldame uudset 2FA möödaminemise tehnikat kasutades näitena esimest rakendust „BTCTurk Pro Beta”.
Pärast rakenduse käivitamist esitatakse taotlus loa saamiseks nimega Notification access, nagu on näidatud Joonisel 2. See luba võimaldab rakendusel lugeda teiste seadmesse installeeritud rakenduste kuvatud teateid, lükata need teated tagasi või klõpsata neis olevatel nuppudel.
Joonis 2. Teavitamise juurdepääsu taotlev võltsitud rakendus
Teavitamise juurdepääsu luba võeti kasutusele Android versioonis 4.3 (Jelly Bean), mis tähendab, et peaaegu kõik aktiivsed Android seadmed on sellele uuele tehnikale vastuvõtlikud. Mõlemad võltsitud BtcTurk rakendused vajavad käivitamiseks Android-versiooni 5.0 (KitKat) või uuemat; seega võivad need mõjutada umbes 90% Android seadmetest.
Kui kasutaja annab selle loa, kuvatakse rakenduses võltsitud sisselogimisvorm, mis nõuab BtcTurki sisselogimist, nagu on näidatud Joonisel 3.
Joonis 3. Pahatahtliku rakenduse kuvatav võltsitud sisselogimisvorm
Pärast andmete sisestamist kuvatakse võltsitud veateade türgi keeles, nagu on näha Joonisel 4. Sõnumi eestikeelne tõlge on: “Ups! SMS-verifitseerimissüsteemis tehtud muudatuste tõttu ei saa me ajutiselt oma mobiilirakendust teenindada. Pärast hooldustöid teavitatakse teid rakenduse kaudu. Täname mõistmise eest.”
Taustal saadetakse sisestatud andmed ründaja serverisse.
Joonis 4. Pahatahtliku rakenduse kuvatav võltsitud veateade
Tänu teavitamise juurdepääsu loale võib pahatahtlik rakendus lugeda muudest rakendustest, sealhulgas SMS- ja e-posti rakendustest pärinevaid teateid.Rakendusel on filtreid, mis on suunatud ainult teatistele, mis pärinevad nendest rakendustest, mille nimed sisaldavad märksõnu „gm, yandex, mail, k9, outlook, sms, messaging”, nagu on näha Joonisel 4.
Joonis 5.Sihtrakenduste nimed ja tüübid
Kõigi sihtrakenduste teadete kuvatav sisu saadetakse ründaja serverisse. Ründajad saavad sisu juurde pääseda sõltumata seadistustest, mida ohver kasutab lukustuskuval teadete kuvamiseks. Selle rakenduse taga olevad ründajad võivad ka sissetulevad teated tagasi lükata ja seadistada helina režiimi vaikima, et takistada ohvreid petutehingutest märkamisest.
Mis puudutab 2FA möödaminemise efektiivsust, siis on tehnikal oma piirangud – ründajad saavad juurdepääsu ainult tekstile, mis sobib teate tekstiväljaga, ja seega ei ole see tagatud, et see sisaldab OTP-d. Sihtrakenduste nimed näitavad, et nii SMS kui ka e-post 2FA pakuvad selle pahavara taga olevatele ründajatele huvi. SMS 2FA-s on sõnumid üldiselt lühikesed ja OTP-d mahuvad tõenäoliselt teatesõnumisse. Kuid e-posti 2FA-l on sõnumi pikkus ja formaat palju mitmekesisemad ja võivad mõjutada ründaja juurdepääsu OTP-le.
Kiiresti arenev tehnika
Just eelmisel nädalal analüüsisime pahatahtlikku rakendust, mis matkis Türgi krüptoraha vahetust Koineks (kiitus @ DjoNn35-le tähelepanu juhtimise eest sellele äpile). Huvitav on see, et võltsitud Koineksi rakendus kasutab sama pahatahtlikku tehnikat SMS-i ja e-posti põhiset 2FA-st möödaminemiseks, kuid sel puudub suutlikkus teavitusi tagasi lükata ja vaigistada.
Meie analüüsi kohaselt on see loodud sama ründaja poolt nagu antud blogipostituses analüüsitud rakendus „BTCTurk Pro Beta”. See näitab, et ründajad töötavad praegu tehnika viimistlemisega, et saavutada SMS sõnumite varastamisel veelgi paremad tulemused.
Joonis 6. Teave võltsitud Koineksi rakenduse kohta Google Plays
Kuidas jääda turvaliseks
Kui kahtlustate, et olete allalaadinud ja kasutanud mõnda neist pahatahtlikest rakendustest, soovitame teil see kohe eemaldada. Kontrollige oma kontosid kahtlase tegevuse kohta ja muutke oma paroole.
Eelmisel kuul hoiatasime bitcoini hinnatõusu kohta, mis põhjustas Google Plays uue krüptoraha pahavara laine. See viimane avastus näitab, et petturid otsivad aktiivselt turvameetmetest kõrvalehoidmise meetodeid, et nende võimalusi arengust kasu saades suurendada.
Vaatamata uuele tehnikale ja rahalisele Android pahavarale üldise turvalisuse saavutamiseks:
- Usaldage ainult krüptovaluuta ja muid rahandusrakendusi, kui need on seotud teenuse ametliku veebilehega. Sisestage oma delikaatne teave veebivormidesse ainult siis, kui olete kindel nende turvalisuses ja õiguspärasuses
- Hoidke seade uuendatud
- Kasutage tuntud mobiilse turvalisuse lahendusi ohtude blokeerimiseks ja eemaldamiseks; ESET süsteemid tuvastavad ja blokeerivad need pahatahtlikud rakendused kui Android / FakeApp.KP
- Võimaluse korral kasutage SMS-i või e-posti asemel tarkvara-põhiseid või riistvara sümboolseid ühekordseid paroole (OTP)
- Kasutage ainult selliseid rakendusi, mida peate usaldusväärseks, ja isegi siis: lubage teavituse juurdepääsu ainult neile, kellel on õigustatud põhjus seda küsida
IoC-d
| Package name | Hash | ESET detection name |
|---|---|---|
| btcturk.pro.beta | 8C93CF8859E3ED350B7C8722E4A8F9A3 | Android/FakeApp.KP |
| com.app.btsoft.app | 843368F274898B9EF9CD3E952EEB16C4 | Android/FakeApp.KP |
| com.app.elipticsoft.app | 336CE9CDF788228A71A3757558FAA012 | Android/FakeApp.KP |
| com.koinks.mobilpro | 4C0B9A665A5A1F5DCCB67CC7EC18DA54 | Android/FakeApp.KP |
MITRE ATT&CK
| Tactic | ID | Name | Description |
|---|---|---|---|
| Initial Access | T1475 | Deliver Malicious App via Authorized App Store | The malware impersonates legitimate services on Google Play. |
| Credential Access | T1411 | User Interface Spoofing | The malware displays phishing activity and requests users to log in. |
Allikas: Welivesecurity
