Компания ESET — лидер в области информационной безопасности — предупреждает о появлении вредоносных приложений для криптовалюты, которые используют новую технику обхода двухфакторной аутентификации на основе SMS-сообщений.
Одно с обнаруженных вредоносных приложение для Android под названием Koineks маскируется под программу для обмена криптовалюты и совершает кражу данных для входа в аккаунт. Это вредоносное приложение для Android было загружено в Google Play в мае 2019 и установлено более 100 пользователями перед удалением из магазина.
Вместо перехвата SMS-сообщений для обхода двухфакторной аутентификации эта опасная программа получает одноразовый пароль (OTP) с уведомлений, которые отображаются на дисплее зараженного устройства. Таким образом, злоумышленникам удается обойти недавно введенные компанией Google ограничения доступа к SMS-уведомлений и журналам звонков в программах Android.
После установки и запуска вредоносная программа запрашивает разрешение под названием «Notification access», что позволяет ей просматривать содержимое всплывающих сообщений. Согласно исследованию ESET, злоумышленники специально нацелены на всплывающие SMS-сообщения или сообщения других программ.
«Одним из положительных последствий ограничений Google от марта 2019 было то, что вредоносные приложения для кражи учетных данных потеряли возможность использовать разрешения, которые давали возможность злоумышленникам перехватывать SMS во время процесса двухфакторной аутентификации. Однако обнаруженное вредоносное приложение для Android впервые с момента введения новой политики обходит введенные ограничения», — рассказывает Лукаш Штефанко, исследователь ESET.
Разрешение на доступ к всплывающих уведомлений доступен с версии Android Jelly Bean 4.3, то есть почти все устройства Android уязвимы к этой новой техники. Тогда как запуск поддельной программы Koineks возможен на устройствах версии 5.0 (KitKat), поэтому угроза представляет опасность для 90% пользователей Android.
Эта специфическая техника имеет свои ограничения — злоумышленники могут получить доступ только к текстовому полю, которое отвечает всплывающему текстовом поле сообщения, и, таким образом, текст не обязательно содержит одноразовий пароль.
Если Вы уже установили подобное вредоносное программное обеспечение на свой телефон, нужно немедленно удалить ее. Сразу после этого стоит проверить свои учетные записи на наличие подозрительной деятельности, а также изменить свои пароли. Стоит отметить, что продукты ESET выявляют данную угрозу как Android/FakeApp.KP.
Вредоносные приложения для Android — рекомендации по выявлению и защите
В прошлом месяце специалисты ESET уже сообщали о появлении новой волны поддельных программ для криптовалюты в магазине Google Play в связи с ростом цен на Bitcoin. Как видим, мошенники активно ищут новые методы для заражения устройств пользователей и получения прибыли.
Для защиты от вредоносных приложений для Android с подобным функционалом специалисты ESET рекомендуют:
- Доверять только программам, указанным на официальном сайте организаций и легитимных сервисов.
- Вводить конфиденциальную информацию в формы, относительно легитимности которых нет сомнений.
- Использовать только проверенное программное обеспечение, и даже в этом случае предоставлять доступ к уведомлениям только в случае необходимости.
- Регулярно обновлять программное обеспечение на Вашем устройстве.
- Применять генераторы одноразовых паролей (OTP) на основе программного или аппаратного токена вместо SMS или электронной почты.
- Использовать надежное решение для блокировки и удаления самых современных видов угроз.