Вредоносное ПО использует новый способ обхода двухфакторной аутентификации

Вредонос является первым, способным обходить ограничения для приложений по использованию SMS.

Компания ESET обнаружила вредоносное ПО для Android, способное обходить механизм двухфакторной аутентификации без доступа к SMS-сообщениям. Вредоносное ПО распространяется под видом приложений турецкой криптовалютной биржи BtcTurk и предназначено для похищения учетных данных пользователей BtcTurk. Вместо того чтобы перехватывать SMS-сообщения с одноразовым паролем для двухфакторной аутентификации, вредоносные приложения получают его из уведомлений, отображающихся на экране устройства. Вредонос не только читает приходящие уведомления, но и скрывает их для того, чтобы пользователь так и не узнал о несанкционированных транзакциях.

Детектируемый продуктами ESET как Android/FakeApp.KP вредонос является первым, способным обходить ограничения для приложений по использованию SMS и журналов звонков, добавленных в Android в марте нынешнего года.

После установки на устройство приложение запрашивает разрешение на доступ к уведомлениям. После того, как пользователь дал разрешение, вредонос отображает поддельную форму авторизации криптовалютной биржи BtcTurk. Заполучив нужную информацию, приложение отображает сообщение об ошибке, а в это время похищенные учетные данные отправляются на подконтрольный злоумышленникам сервер.

На удаленный сервер также отправляется содержимое всех прочитанных вредоносом уведомлений (в том числе одноразовые пароли), независимо от того, разрешил ли пользователь в настройках отображать уведомления на экране блокировки.

Первое вредоносное приложение под названием BTCTurk Pro Beta было загружено в Google Play 7 июня неким разработчиком BTCTurk Pro Beta. Пока Google не удалила его, приложение успели загрузить более 50 пользователей.

11 июня приложение с тем же названием снова было загружено в магазин, но разработчиком уже значился BtSoft. Хотя обе программы используют одну и ту же личину, их авторами являются разные разработчики, считают в ESET. Google удалила второе приложение 12 июня, но на следующий день в магазине появилось третье, на сей раз под названием BTCTURK PRO.