Компанія ESET — лідер у галузі інформаційної безпеки — попереджає про появу шкідливих додатків для криптовалюти, які використовують нову техніку обходу двофакторної аутентифікації на основі SMS-повідомлень.
Один з виявлених шкідливих додатків для Android з назвою Koineks маскується під програму для обміну криптовалют і здійснює крадіжку даних для входу до облікового запису. Цей шкідливий додаток для Android було завантажено в Google Play у травні 2019 року та встановлено більш ніж 100 користувачами перед видаленням із магазину.
Замість перехоплення SMS-повідомлень для обходу двофакторної аутентифікації небезпечна програма отримує одноразовий пароль (OTP) із сповіщень, що з'являються на дисплеї інфікованого пристрою. Таким чином, зловмисникам вдається обійти нещодавно запроваджені компанією Google обмеження доступу до SMS-сповіщень і журналів дзвінків у програмах Android.
Після інсталяції та запуску шкідлива програма запитує дозвіл із назвою «Notification access», що дозволяє їй переглядати вміст спливаючих повідомлень. Відповідно до дослідження ESET, зловмисники спеціально націлені на спливаючі SMS-повідомлення або сповіщення інших програм.
«Одним із позитивних наслідків обмежень Google від березня 2019 року було те, що шкідливі додатки для викрадення облікових даних втратили можливість використовувати дозволи, які давали можливість зловмисникам перехоплювати SMS під час процесу двофакторної аутентифікації. Однак виявлений шкідливий додаток для Android вперше з часу введення нової політики обходить запроваджені обмеження», — розповідає Лукаш Штефанко, дослідник ESET.
Дозвіл на доступ до спливаючих сповіщень доступний із версії Android Jelly Bean 4.3, тобто майже всі пристрої Android уразливі до цієї нової техніки. Тоді як запуск підробної програми Koineks можливий на пристроях версії 5.0 (KitKat), тому загроза може становити небезпеку для 90% користувачів Android.
Ця специфічна техніка має свої обмеження — зловмисники можуть отримати доступ лише до текстового поля, яке відповідає спливаючому текстовому полю повідомлення, і, таким чином, текст не обов’язково міститиме одноразовий пароль.
Якщо Ви вже встановили подібного програмного забезпеченняна власний телефон, потрібно негайно видалити його. Відразу після цього необхідно перевірити свої облікові записи на наявність підозрілої діяльності та змінити свої паролі. Варто зазначити, що продукти ESET виявляють цю загрозу як Android/FakeApp.KP.
Шкідливі додатки для Android – рекомендації щодо виявлення та захисту
Минулого місяця спеціалісти ESET вже попереджали про появу нової хвилі підробних програм для криптовалют у магазині Google Play у зв’язку зі зростанням цін на Bitcoin. Як бачимо, шахраї активно шукають нові методи для інфікування пристроїв користувачів й отримання прибутку.
Для захисту від шкідливих додатків для Android з подібним функціоналом спеціалісти ESET рекомендують:
- Довіряти лише програмам, які вказані на офіційному веб-сайті установ та сервісів.
- Вводити свою особисту інформацію у форми, щодо яких немає сумнівів.
- Використовувати лише авторитетне програмне забезпечення, і навіть у цьому разі дозволяти доступ до сповіщень лише у разі необхідності.
- Регулярно оновлювати програмне забезпечення на Вашому пристрої.
- Застосовувати генератори одноразових паролів (OTP) на основі програмного або апаратного токена замість SMS чи електронної пошти.
- Використовувати надійне рішення для блокування та видалення найсучасніших видів загроз.