Namaak-cryptocurrencyapps gebruiken nieuwe techniek om Googles 2FA-machtigingsbeleid te omzeilen

Next story

Sliedrecht, 17 juni 2019 – ESET-onderzoekers hebben namaak-cryptocurrencyapps ontdekt die een tot dusver niet eerder geziene techniek gebruiken om SMS-gebaseerde tweefactorauthenticatie te omzeilen en zo de recente SMS-machtigingsrestricties van Google te omzeilen. In maart 2019 beperkte Google het gebruik van SMS- en belhistoriemachtiging in Androidapps om te voorkomen dat zich kwaadaardige apps ze kunnen misbruiken voor illegale praktijken.

De apps, “BTCTurk Pro Beta”, “BtcTurk Pro Beta” en “BTCTURK PRO” genoemd, doen zich voor als de Turkse cryptocurrencybeurs BtcTurk en phishen naar inloggegevens voor de dienst. Deze apps halen de eenmalige code op uit de notificatiebalk waarin de SMS verschijnt. Behalve het lezen van de 2FA-notificaties kunnen de apps ze ook negeren zodat de slachtoffers niet doorhebben dat fraudeleuze transacties plaatsvinden. Alle drie de apps werden in juni 2019 geüpload in Google Play en zijn kort na ESETs melding eraf gehaald.

Nadat de nep BtcTurk-apps zijn geïnstalleerd en opgestart, vragen ze om een machtiging genaamd Notification access. De apps kunnen vervolgens de getoonde notificaties van alle apps op het apparaat lezen, negeren en bijbehorende acties uitvoeren. Volgens de analyse van ESET richten de aanvallers achter deze apps zich specifiek op notificatie van SMS- en mailapps.

“Eén van de positieve effecten van Googles restricties van maart 2019 was dat gegevensstelende apps niet langer in staat waren om deze machtigingen voor SMS-gebaseerde 2FA-mechanismes voorbij te gaan. Echter, met de ontdekking van deze namaak-apps, hebben we nu de eerste malware gezien die deze SMS-machtigingsrestrictie omzeilt,” zei ESET-onderzoeker Lukáš Štefanko, auteur van het onderzoek.

De Notification access-machtiging werd geïntroduceerd in de Jelly Bean 4.3-versie van Android. Androidapparaten met een versie lager dan 4.3 bevatten de beveiligingsfunctie van Google niet en zijn sowieso kwetsbaar voor het uitlezen van notificaties. Androidapparaten met versie 4.3 en hoger zijn alleen kwetsbaar als je de app toestemming geeft om notificaties uit te lezen. De namaak-BtcTurk-apps vereisen Androidversie 5.0 (KitKat) of hoger om te draaien; dat betreft ongeveer 90% van alle Androidapparaten.

Deze techniek beperkt zich tot het uitlezen van notificatieberichten. Er is daarmee dus geen garantie op een succesvolle onderschepping van de éénmalige code. De inhoud van het SMS-bericht kan namelijk langer zijn dan de hoeveelheid tekst die in de notificatie past, waardoor een deel van het SMS-bericht onleesbaar is voor kwaadaardige apps. Echter zijn SMS-berichten die verificatiecodes bevatten doorgaans kort en wordt daarmee de kans verhoogd dat de verificatiecode middels deze techniek gestolen kan worden. E-mailberichten zijn daarintegen vaak langer dan SMS-berichten, waardoor de kans lager is dat een aanvaller de verificatiecodes uit kan lezen.

Voor meer details, zie het volledige stuk door Lukáš Štefanko: “Malware sidesteps Google permissions policy with new 2FA bypass technique” op WeLiveSecurity.com.

Over ons

Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke “in-the-wild” malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.nl of volg ons op LinkedIn, Facebook en Twitter.