恶意Android应用程序绕过2FA并窃取加密货币帐户登录

BtcTurk users targeted by 2FA-bypassing Android apps

如果有人要求你用一个类比来说明现代威胁景观,那就说它是一个猫捉老鼠的游戏。如果有人要求您澄清,请告诉他们ESET的研究人员最近发现的三个恶意Android应用程序。

这些应用程序的开发人员设法将其推送到谷歌的恶意软件扫描程序,并将其发布到Android的官方应用程序商店。整个行动的目标是诱骗受害者放弃他们的土耳其加密货币交易所BtcTurk的登录凭证。

BtcTurk有一个合法的Android应用程序 ,根据ESET的截图判断,这些骗子在复制它的外观方面做得相当不错。可能这就是为什么,虽然假冒的应用程序相对较快地从Google Play报告并被删除,但至少有50名用户因诈骗而下载并下载了恶意软件。

从表面上看,没有什么特别之处。打开时,应用程序会显示一个与BtcTurk完全相同的虚假登录页面,受害者输入的任何用户名和密码都会直接发送给犯罪分子。然而,当ESET的Lukas Stefanko更仔细地检查它们时,他意识到他们带来了绕过基于SMS的双因素身份验证(2FA)的新机制。

黑客开发另一种击败2FA的方式

我们已经讨论了基于短信的2FA以及如何在飞行途中拦截短信的骗子击败它。然而,直到几个月前,还有另一种可以说是在Android设备上击败安全功能的简单方法。

黑客知道,如果他们的应用程序可以获得读取用户短信和通话记录的权限,他们可以窃取临时密码并通过第二个因素而不会有太多麻烦。这就是为什么在3月份,谷歌的安全团队决定限制使用短信和呼叫日志权限,认为这将结束这一特定威胁。然而,并没有花费太多时间来找到解决限制的方法。

开发虚假BtcTurk应用程序的黑客意识到Android应用程序可以请求另一个权限,这可以让他们访问最重要的2FA密码。谷歌可能对现在哪些应用程序可以阅读短信有更严格的规定,但是当涉及到通知时,规则就像以前一样松散。任何Android用户都会告诉您,当您收到短信时,您也会收到通知,当短信来自2FA系统时,通知中通常会显示临时密码。正如您可能想象的那样,黑客设法将两个和两个放在一起。

一旦受害者输入他们的登录详细信息,假冒BtcTurk应用程序会尝试使用它们在实际交换时登录。这会触发BtcTurk的2FA系统,该系统将一次性密码作为SMS发送给用户. 由于恶意应用程序先前已请求读取通知的权限,因此它会窃取一次性密码并让骗子登录受害者的BtcTurk帐户。如果后续事务再次触发2FA系统,则应用程序可以使用一次性密码然后关闭通知,这意味着受害者不太可能注意到。

总而言之,操作是经过深思熟虑的,如果不是ESET的专家,它可能会吸引不少土耳其加密货币粉丝。也就是说,骗子确实犯了一个错误。

BtcTurk网络钓鱼者将敏感数据暴露出来

谁去用别名安全研究员@ fs0c131y (我们已经谈到 关于过去)是由网络钓鱼操作很感兴趣,他着手通过命令和控制(C&C)的基础设施去。他注意到骗子们将所有被盗信息记录在Firebase数据库中,该数据库没有受到任何保护。换句话说,他们不仅窃取了人们的登录数据,而且还通过制造可能是他们所有人最简单的配置错误来让整个世界看到它。

如您所见,这是信息安全如何工作的一个很好的例子。像谷歌这样的供应商努力堵塞网络犯罪分子利用的漏洞,但最终,骗子才找到新漏洞。在这个过程中,他们的邋iness意味着被盗的数据往往得不到保护,这反过来为其他机会主义骗子打开了更多的大门。不幸的是,这一切都是以普通用户为代价的。

July 16, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
5 + 4是什么?