Aplicativos Mal-Intencionados do Android Burlam o 2FA e Roubam os Logins de Contas de Moedas Digitais

BtcTurk users targeted by 2FA-bypassing Android apps

Se alguém lhe pedir para ilustrar o cenário moderno de ameaças com uma única analogia, diga que é um jogo de gato e rato. Se esse alguém pedir que você esclareça, informe sobre os três aplicativos maliciosos do Android que os pesquisadores da ESETencontraram recentemente.

Os desenvolvedores desses aplicativos conseguiram ultrapassar os scanners de malware do Google e os publicaram na loja oficial de aplicativos do Android. O objetivo de toda a operação era enganar as vítimas para que elas entregassem as suas credenciais de login para uma troca de moedas digitais na Turquia chamada BtcTurk.

O BtcTurk tem um aplicativo Android legítimo, e a julgar pelas imagens da ESET, os bandidos fizeram um bom trabalho copiando a sua aparência. Provavelmente, é por isso que, embora os aplicativos falsos tenham sido denunciados e removidos do Google Play de forma relativamente rápida, pelo menos 50 usuários caíram no golpe e baixaram o malware.

Na sua aparência, não há nada de especial. Quando abertos, os aplicativos apresentam uma página de login falsa que é praticamente idêntica à do BtcTurk, e qualquer nome de usuário e senha que as vítimas informarem são enviados diretamente para os criminosos. Quando Lukas Stefanko da ESET os examinou mais de perto, no entanto, ele percebeu que eles vinham com um novo mecanismo para ignorar a autenticação de dois fatores baseada no SMS (2FA).

Os hackers desenvolvem outra maneira de vencer o 2FA

discutimos o 2FA baseado no SMS e como ele pode ser burlado pelos criminosos que interceptam as mensagens de texto no meio do processo. Até alguns meses atrás, no entanto, havia outra maneira, possivelmente mais simples, de vencer o recurso de segurançanos dispositivos Android.

Os hackers sabiam que, se os seus aplicativos pudessem obter permissões para ler mensagens de texto e registros de chamadas, eles poderiam roubar as senhas temporárias e passar pelo segundo fator sem muito trabalho. É por isso que, em março, a equipe de segurança do Google decidiu restringir o uso de permissões às SMS e de registro de chamadas, pensando que isso colocaria um fim à essa ameaça específica. Não demorou muito tempo para os bandidos encontrarem uma maneira de contornar as restrições.

Os hackers que desenvolveram os falsos aplicativos BtcTurk perceberam que os outros podem solicitar outra permissão que lhes permita acessar a importantíssima senha 2FA. O Google pode ter regras mais rígidas sobre quais aplicativos podem ler o SMSs hoje em dia, mas quando se trata de notificações, os regulamentos estão mais desleixados do que nunca. Como qualquer usuário do Android dirá, quando você receber um SMS você também receberá uma notificação e, quando a mensagem de texto estiver vindo de um sistema 2FA, a senha temporária ficará visível na notificação. Como você pode imaginar, os hackers conseguiram somar dois com dois.

Assim que as vítimas digitam os seus detalhes de login, os falsos aplicativos BtcTurk tentam usá-los para fazer a troca. Isso dispara o sistema 2FA do BtcTurk, que envia uma senha única para o usuário como um SMS. Como o aplicativo mal-intencionado já solicitou permissão para ler notificações, ele rouba a senha de uso único e permite que os bandidos se conectem à conta BtcTurk da vítima. Se as transações subsequentes acionarem o sistema 2FA novamente, os aplicativos poderão usar a senha descartável e, em seguida, dispensar a notificação, o que significa que a vítima terá menos probabilidade de perceber o que está ocorrendo.

Em suma, a operação foi bem pensada, e se não fosse pelos especialistas da ESET, provavelmente teriam capturado muitos fãs de moeda digital turcos. Dito isto, os bandidos cometeram um erro.

Os phishers do BtcTurk deixam dados confidenciais expostos

Um pesquisador de segurança que usa o alias @fs0c131y (de quem temos falado a respeito no passado) ficou intrigado com a operação de phishing, e ele começou a passar pela infraestrutura do Command & Control (C & C). Ele notou que os bandidos estavam registrando todas as informações roubadas em um banco de dados do Firebase que não eram protegidas de forma alguma. Em outras palavras, eles não estavam apenas roubando os dados de login das pessoas, mas também estavam expondo-os para o mundo todo ver o que é sem dúvida o mais simples erro de configuração de todos eles.

Como você pode ver, este é um bom exemplo de como funciona a segurança das informações. Fornecedores como o Google trabalham duro para preencher as lacunas que os criminosos cibernéticos exploram, mas no final, os bandidos acabam encontrando novas. No processo, o seu desleixo significa que os dados roubados muitas vezes não são protegidos, o que por sua vez abre mais portas para outros bandidos oportunistas. Infelizmente, é tudo à custa do usuário regular.

August 12, 2019

Deixe uma Resposta

IMPORTANTE! Para poder prosseguir, você precisa resolver a seguinte conta.
Please leave these two fields as is:
O que é 9 + 5 ?