Buenos Aires, 25 de junio de 2019 – ESET Latinoamérica, compañía líder en detección proactiva de amenazas, identificó un nuevo malware en aplicaciones maliciosas que accede a contraseñas de un solo uso en mensajes SMS de doble factor de autenticación. El objetivo es robar las credenciales de inicio de sesión del servicio evadiendo las restricciones de Google.
En marzo de este año, Google restringió el uso de permisos de SMS y registro de llamadas en aplicaciones de Android. De todos modos, ESET descubrió aplicaciones maliciosas capaces de acceder a contraseñas de un solo uso (OTP, por sus siglas en inglés) en mensajes SMS de doble factor de autenticación. El malware, que en todas sus formas es detectado por los productos de ESET es el primero que se conoce con la capacidad de eludir las nuevas restricciones de permisos de SMS. Esta técnica también funciona para obtener contraseñas de un solo uso de algunos sistemas de 2FA basados en el correo electrónico.
Figura 1. La falsa app BtcTurk en Google Play
El engaño busca robar las credenciales de inicio de sesión del servicio. Para esto las aplicaciones se hacen pasar por el exchange de criptomonedas turco BtcTurk. En lugar de interceptar mensajes SMS para evadir la protección 2FA en las cuentas y transacciones, las aplicaciones maliciosas toman la contraseña de un solo uso de las notificaciones que aparecen en la pantalla del dispositivo comprometido. Además de leer las notificaciones de 2FA, también pueden descartarlas para evitar que las víctimas noten las transacciones fraudulentas.
Una vez iniciada, la aplicación solicita un permiso denominado “Acceso a las notificaciones”. Esto permite a la aplicación leer las notificaciones mostradas por otras aplicaciones instaladas en el dispositivo, descartar esas notificaciones o hacer clic en los botones que contienen.
Figura 2. La falsa aplicación solicitando “Acceso a las notificaciones”
El permiso de Acceso a las notificaciones se introdujo en la versión 4.3 de Android (Jelly Bean), lo que significa que casi todos los dispositivos Android activos son susceptibles a esta nueva técnica. Las aplicaciones falsas requieren la versión de Android 5.0 (KitKat) o superior para ejecutarse; por lo que podrían afectar alrededor del 90% de los dispositivos Android. Una vez que el usuario otorga este permiso, la aplicación muestra un formulario de inicio de sesión falso que solicita credenciales para BtcTurk.
Figura 3. El falso formulario de inicio de sesión desplegado por la app maliciosa
Después de ingresar las credenciales, se muestra un falso mensaje de error en turco. La traducción al español del mensaje es: “¡Upss! Debido al cambio realizado en el sistema de verificación de SMS somos temporalmente incapaces de reparar nuestra aplicación móvil. Después de los trabajos de mantenimiento, se le notificará a través de la aplicación. Gracias por su comprensión”. En segundo plano, las credenciales ingresadas son enviadas al servidor del atacante.
Figura 4. El falso mensaje de error que despliega la aplicación maliciosa
El contenido mostrado por todas las notificaciones son enviadas al servidor del atacante, accediendo al contenido independientemente de la configuración que utilice la víctima para mostrar notificaciones en la pantalla de bloqueo. Además, pueden descartar notificaciones entrantes y configurar el modo de timbre del dispositivo en silencio, lo que puede evitar que las víctimas noten transacciones fraudulentas.
“Si se sospecha de haber instalado y utilizado alguna aplicación maliciosa, desde ESET se recomienda la desinstalación de inmediato, revisar las cuentas para detectar actividades sospechosas y el cambio de las contraseñas.”, comentó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica. “El mes pasado, advertimos sobre el creciente precio de bitcoin y cómo esto ha dado lugar a una nueva ola de malware de criptomoneda en Google Play. Este último descubrimiento muestra que los cibercriminales están buscando activamente métodos para eludir las medidas de seguridad y así aumentar sus posibilidades de lograr sus objetivos. Es importante mantenerse protegidos para disfrutar de tecnología de manera segura”, concluyó Gutierrez.
Para mantenerse a salvo del malware financiero para Android ESET recomienda:
· Confiar solamente en aplicaciones relacionadas con la criptomoneda y en otras aplicaciones financieras siempre que estén vinculadas desde el sitio web oficial del servicio
· Solo ingresar información confidencial en formularios en línea si se está seguro de la seguridad y legitimidad del mismo
· Mantener los dispositivos actualizados
· Usar una solución de seguridad móvil confiable para bloquear y eliminar amenazas. Los sistemas de ESET detectan y bloquean estas aplicaciones maliciosas como Android / FakeApp.KP
· Siempre que sea posible, utilizar generadores de contraseña de un solo uso (OTP) basados en software o hardware en lugar de SMS o correo electrónico
· Solo utilizar aplicaciones que se consideren confiables, y aun así: solo permitir el acceso a las notificaciones a aquellas que tengan una razón legítima para solicitarla.
ESET acerca #quenotepase, con información útil para evitar que situaciones cotidianas afecten la privacidad en línea.
De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2019/06/18/malware-nueva-tecnica-evadir-doble-factor-autenticacion/