Когда Google ограничил использование SMS-разрешений и разрешений в журнале вызовов в приложениях Android в марте 2019 года, одним из положительных результатов стало то, что приложения, созданные для кражи учетных данных, утратили возможность злоупотреблять этими разрешениями для обхода механизмов двухфакторной аутентификации на основе SMS.

Теперь мы обнаружили вредоносные приложения, способные получать доступ к одноразовым паролям (OTP) в SMS сообщениях для 2FA без использования SMS-разрешений, что позволяет обойти недавние ограничения Google. В придачу этот метод также помогает получить одноразовые пароли от некоторых систем 2FA, основанных на электронной почте.

Приложения имитируют турецкую биржу криптовалют BtcTurk и получают с помощью фишинга учетные данные для входа в данный сервис. Вместо того, чтобы перехватывать SMS-сообщения для обхода 2FA в учетных записях и транзакциях пользователей, эти вредоносные приложения получают одноразовые пароли из уведомлений, появляющихся на дисплее взломанного устройства. Помимо чтения уведомлений 2FA, такие приложения могут также отклонять их, чтобы жертвы не замечали мошеннических действий.

Вредоносная программа, все формы которой обнаруживаются продуктами ESET, такая как Android/FakeApp.KP, является первой из известных программ, обходящих новые ограничения SMS-разрешений.

Вредоносные приложения

Первое из проанализированных нами вредоносных приложений, «BTCTurk Pro Beta», было загружено в Google Play 7 июня 2019 года под именем разработчика «BTCTurk Pro Beta». Оно было установлено более чем 50 пользователями, прежде чем компания ESET сообщили об этом в службу безопасности Google. BtcTurk — турецкая биржа криптовалют; ее официальное мобильное приложение можно найти по ссылке на сайте биржи и доступно только для пользователей в Турции.

Второе приложение «BtcTurk Pro Beta» было загружено 11 июня 2019 года под именем разработчика «BtSoft». Хотя эти два приложения используют очень похожий вид, они, скорее всего, являются работой разных злоумышленников. Мы сообщили о приложении 12 июня 2019 года, когда оно было установлено менее чем 50 пользователями.

После удаления этого второго приложения те же злоумышленники загрузили другое приложение с идентичным функционалом, на этот раз под именем «BTCTURK PRO», указав тоже имя разработчика, применив идентичную иконку и экранные формы приложения. Мы сигнализовали о приложении 13 июня 2019 года.

Рисунок 1 демонстрирует два первые вредоносные приложения в том виде, как они появились в Google Play.

Рисунок 1. Мошеннические приложения BtcTurk в Google Play

Новая техника обхода двухфазной аутентификации

После установки оба приложения, описанные в предыдущем разделе, действуют по аналогичной схеме. В этом разделе данной публикации мы опишем новую технику обхода 2FA, используя в качестве примера первое приложение «BTCTurk Pro Beta».

После запуска данного приложения оно запрашивает разрешение на Доступ к уведомлениям, как показано на Рисунке 2. Это разрешение позволяет приложению читать уведомления, отображаемые другими приложениями, установленными на устройстве, отклонять эти уведомления или нажимать кнопки, которые они содержат.

Рисунок 2. Вредоносное приложение запрашивает доступ к уведомлениям

Разрешение на Доступ к уведомлениям было введено в версии 4.3 Android (Jelly Bean), что означает, что почти все активные устройства Android могут стать жертвой этой новой техники. Для работы обоих вредоносных приложений BtcTurk требуется версия Android 5.0 (KitKat) или выше; таким образом, они могут работать на почти 90% устройств Android.

Как только пользователь предоставит это разрешение, приложение отобразит поддельную форму входа в систему, запрашивающую учетные данные для BtcTurk, как показано на Рисунке 3.

Рисунок 3. Поддельная форма входа в систему, отображаемая вредоносным приложением.

После ввода учетных данных отображается поддельное сообщение об ошибке на турецком языке, как показано на Рисунке 4. Английский перевод сообщения: «Увы! Из-за изменений, внесенных в систему проверки SMS, мы временно не можем обслуживать наше мобильное приложение. После проведения работ по техническому обслуживанию вы будете уведомлены через приложение. Спасибо за понимание.»

Тем временем, введенные учетные данные направляются на сервер взломщика.

Рисунок 4. Мошенническое сообщение об ошибке, отображаемое вредоносным приложением

Благодаря разрешению на Доступ к уведомлениям вредоносное приложение может читать уведомления, поступающие от других приложений, включая приложения, работающие по SMS и электронной почте. В приложении имеются фильтры, позволяющие отбирать только уведомления от приложений, имена которых содержат ключевые слова «gm, yandex, mail, k9, outlook, sms, messaging», как показано на Рисунке 4.

Рисунок 5. Названия и типы целевых приложений

Отображаемое содержимое всех уведомлений от целевых приложений отправляется на сервер взломщика. Злоумышленники могут получить доступ к данным независимо от настроек, которые жертва использует для отображения уведомлений на экране блокировки. Взломщики, стоящие за этим приложением, также могут отклонить входящие уведомления и установить режим звонка устройства в беззвучный режим, что может помешать жертвам заметить мошеннические действия.

Что касается эффективности обхода двухфакторной аутентификации, метод имеет свои ограничения: взломщики могут получить доступ только к тексту, который соответствует текстовому полю уведомления, и, таким образом, нет гарантии, что он будет включать одноразовый пароль. Названия целевых приложений показывают, что как SMS, так и электронная почта 2FA представляют интерес для злоумышленников, создавших эту хакерскую программу. В SMS двухфазной аутентификации сообщения, как правило, короткие, а одноразовые пароли с большой вероятностью вписываются в сообщение уведомления. Однако, в электронной почте 2FA длина и формат сообщения значительно варьируются, что может повлиять на доступ злоумышленника к одноразовому паролю.

Быстро развивающаяся техника

Только на прошлой неделе мы проанализировали вредоносное приложение, имитирующее турецкую биржу криптовалют Koineks (хотелось бы выразить благодарность @DjoNn35 за то, что обратили наше внимание на это приложение). Интересно, что вредоносное приложение Koineks использует ту же технику для обхода 2FA на основе SMS и электронной почты, но не имеет возможности отклонять и отключать звук уведомлений.

Согласно результатам нашего анализа, приложение было создано тем же взломщиком, что и приложение «BTCTurk Pro Beta», проанализированное в этом посте. Это демонстрирует, что злоумышленники в настоящее время работают над настройкой этого метода для достижения «следующих лучших» результатов с целью кражи SMS-сообщений.

Рисунок 6. Информация о мошенническом приложении Koineks в Google Play

Как обеспечить безопасность

Если вы подозреваете, что установили и использовали одно из этих вредоносных приложений, мы рекомендуем вам немедленно удалить его. Проверьте свои учетные записи на наличие подозрительных действий и измените свои пароли.

В прошлом месяце мы предупреждали о растущей цене биткойнов, ведущей к появлению новой волны криптовалютного хакерского ПО в Google Play. Это последнее открытие показывает, что мошенники активно ищут способы обойти меры безопасности, чтобы увеличить свои шансы на прибыль от разработки.

Чтобы обезопасить себя от этой новой техники и финансовых хакерских программ на Android в целом:

  • Доверяйте криптовалютным и прочим финансовым приложениям только в том случае, если ссылки прописаны на официальном веб-сайте соответствующей службы
  • Вносите вашу конфиденциальную информацию в онлайн-формы только в том случае, если вы уверены в их безопасности и законности.
  • Выполняйте обновления вашего устройства
  • Используйте надежное решение для обеспечения безопасности мобильных устройств, чтобы блокировать и удалять угрозы; Системы ESET обнаруживают и блокируют эти вредоносные приложения как Android/FakeApp.KP.
  • По возможности, используйте программные или аппаратные генераторы одноразовых паролей вместо SMS или электронной почты.
  • Используйте только те приложения, которые вы считаете заслуживающими доверия, и даже в этом случае давайте доступ к уведомлениям только тем из них, у кого есть законные основания для такого запроса.

Инверсия управления (IoCs)

Package nameHashESET detection name
btcturk.pro.beta8C93CF8859E3ED350B7C8722E4A8F9A3Android/FakeApp.KP
com.app.btsoft.app843368F274898B9EF9CD3E952EEB16C4Android/FakeApp.KP
com.app.elipticsoft.app336CE9CDF788228A71A3757558FAA012Android/FakeApp.KP
com.koinks.mobilpro4C0B9A665A5A1F5DCCB67CC7EC18DA54Android/FakeApp.KP

MITRE ATT&CK

TacticIDNameDescription
Initial AccessT1475Deliver Malicious App via Authorized App StoreThe malware impersonates legitimate services on Google Play.
Credential AccessT1411User Interface SpoofingThe malware displays phishing activity and requests users to log in.

Источник: Welivesecurity