A „BTCTurk Pro Beta,” „BtcTurk Pro Beta” és „BTCTURK PRO” elnevezésű programok egy török kriptovaluta kereskedő, a BtcTurk alkalmazásának adják ki magukat, és céljuk a belépési adatok megszerzése. A kétfaktoros azonosításhoz szükséges SMS-üzenetek megzavarása helyett az alkalmazások az egyszer használatos jelszavakat (one-time passwords) szerzik meg, az eszköz képernyőjén megjelenő hamis figyelmeztetések révén.
Mindhárom alkalmazás 2019 júniusában jelent meg a Google Play áruházban, azonban az ESET figyelmeztetése után eltávolításra kerültek.
Hogyan működnek?
Miután a hamis BtcTurk alkalmazások telepítésre kerültek, engedélyt kérnek az értesítésekhez való hozzáféréshez. Ezután az alkalmazások így már tudják olvasni a készüléken más alkalmazások értesítéseit, sőt törölhetik, vagy el is tudják tüntetni ezeket, illetve ha van kattintható gomb az értesítésekben, akkor a felhasználó beavatkozása nélkül észrevétlenül jóvá is hagyhatják a tranzakciókat a nevünkben. Az ESET elemzése szerint a támadók kifejezetten az SMS és email alkalmazások által küldött jóváhagyó értesítéseket célozzák a támadás során.
„A Google 2019 márciusától induló korlátozásainak egyik pozitív hatása az volt, hogy a hitelesítő adatokat ellopó alkalmazások többé nem tudtak visszaélni az SMS-alapú kétfaktoros azonosítási mechanizmusokkal. Most azonban, ezeknek a hamis alkalmazásoknak a felfedezésével, láthattuk az első olyan kártevőt, amely képes megkerülni ezt a korlátozást” – mondta az ESET kutatója, Lukáš Štefanko.
![](data:image/svg+xml;charset=utf-8,<svg height="761" width="1401" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Az értesítésekhez való hozzáférési engedélyt az Android Jelly Bean 4.3 verziójában vezették be, ami azt jelenti, hogy szinte minden aktív androidos készüléket érint ez az új módszer. A hamis BtcTurk alkalmazások az Android 5.0-ás (KitKat) és újabb verziókra érhető el, így az androidos eszközök körülbelül 90 százalékát érinti.
A 2FA azonosítás megkerülésének hatékonysága terén, ennek a technikának is megvannak a határai: a támadók, csak az értesítés terjedelmének megfelelő szöveghez férnek hozzá, így nem garantált, hogy ez a rész tartalmazza az egyszer használatos jelszavakat. Az SMS-ekben a 2FA üzenetek általában rövidek, és ezért az egyszer használatos jelszavak (OTP-k) beférhetnek ebbe a terjedelembe. Az emailes azonosítások azonban általában hosszabbak, így emiatt e támadási módszer ellen védettebbek.
A cég tanácsai a felhasználók számára:
- Csak akkor bízzunk meg a kriptovalutás és más pénzügyi alkalmazásokban, ha a szolgáltatás hivatalos webhelyén lévő link vezet a Google Play áruházba!
- Csak akkor adjuk meg személyes adatainkat az online formanyomtatványokban, ha biztosak vagyunk abban, hogy azok biztonságosak és hivatalosak!
- Folyamatosan frissítsük készülékeinken mind az Android hibajavításait, mind pedig az alkalmazásokat!
- Használjunk megbízható mobilbiztonsági megoldást a fenyegetések blokkolásához és eltávolításához! Amikor csak lehetséges, használjunk szoftver alapú vagy hardveres tokeneket az egyszer használatos jelszavak generálásához, az SMS vagy e-mail helyett.
- Csak olyan alkalmazásokat használjunk, amelyeket megbízhatónak ítélünk, és még ezek esetében is csak azoknál engedélyezzük az értesítésekhez való hozzáférést, amelyeknek jogszerű oka van ezt kérni!
(Kiemelt kép: iStock)