惡意Android應用程序繞過2FA並竊取加密貨幣帳戶登錄

BtcTurk users targeted by 2FA-bypassing Android apps

如果有人要求你用一個類比來說明現代威脅景觀,那就說它是一個貓捉老鼠的遊戲。如果有人要求您澄清,請告訴他們ESET的研究人員最近發現的三個惡意Android應用程序。

這些應用程序的開發人員設法將其推送到谷歌的惡意軟件掃描程序,並將其發佈到Android的官方應用程序商店。整個行動的目標是誘騙受害者放棄他們的土耳其加密貨幣交易所BtcTurk的登錄憑證。

BtcTurk有一個合法的Android應用程序 ,根據ESET的截圖判斷,這些騙子在復制它的外觀方面做得相當不錯。可能這就是為什麼,雖然假冒的應用程序相對較快地從Google Play報告並被刪除,但至少有50名用戶因詐騙而下載並下載了惡意軟件。

從表面上看,沒有什麼特別之處。打開時,應用程序會顯示一個與BtcTurk完全相同的虛假登錄頁面,受害者輸入的任何用戶名和密碼都會直接發送給犯罪分子。然而,當ESET的Lukas Stefanko更仔細地檢查它們時,他意識到他們帶來了繞過基於SMS的雙因素身份驗證(2FA)的新機制。

黑客開發另一種擊敗2FA的方式

我們已經討論了基於短信的2FA以及如何在飛行途中攔截短信的騙子擊敗它。然而,直到幾個月前,還有另一種可以說是在Android設備上擊敗安全功能的簡單方法。

黑客知道,如果他們的應用程序可以獲得讀取用戶短信和通話記錄的權限,他們可以竊取臨時密碼並通過第二個因素而不會有太多麻煩。這就是為什麼在3月份,谷歌的安全團隊決定限制使用短信和呼叫日誌權限,認為這將結束這一特定威脅。然而,並沒有花費太多時間來找到解決限制的方法。

開發虛假BtcTurk應用程序的黑客意識到Android應用程序可以請求另一個權限,這可以讓他們訪問最重要的2FA密碼。谷歌可能對現在哪些應用程序可以閱讀短信有更嚴格的規定,但是當涉及到通知時,規則就像以前一樣鬆散。任何Android用戶都會告訴您,當您收到短信時,您也會收到通知,當短信來自2FA系統時,通知中通常會顯示臨時密碼。正如您可能想像的那樣,黑客設法將兩個和兩個放在一起。

一旦受害者輸入他們的登錄詳細信息,假冒BtcTurk應用程序會嘗試使用它們在實際交換時登錄。這會觸發BtcTurk的2FA系統,該系統將一次性密碼作為SMS發送給用戶. 由於惡意應用程序先前已請求讀取通知的權限,因此它會竊取一次性密碼並讓騙子登錄受害者的BtcTurk帳戶。如果後續事務再次觸發2FA系統,則應用程序可以使用一次性密碼然後關閉通知,這意味著受害者不太可能注意到。

總而言之,操作是經過深思熟慮的,如果不是ESET的專家,它可能會吸引不少土耳其加密貨幣粉絲。也就是說,騙子確實犯了一個錯誤。

BtcTurk網絡釣魚者將敏感數據暴露出來

誰去用別名安全研究員@ fs0c131y (我們已經談到 關於過去)是由網絡釣魚操作很感興趣,他著手通過命令和控制(C&C)的基礎設施去。他注意到騙子們將所有被盜信息記錄在Firebase數據庫中,該數據庫沒有受到任何保護。換句話說,他們不僅竊取了人們的登錄數據,而且還通過製造可能是他們所有人最簡單的配置錯誤來讓整個世界看到它。

如您所見,這是信息安全如何工作的一個很好的例子。像谷歌這樣的供應商努力堵塞網絡犯罪分子利用的漏洞,但最終,騙子才找到新漏洞。在這個過程中,他們的邋iness意味著被盜的數據往往得不到保護,這反過來為其他機會主義騙子打開了更多的大門。不幸的是,這一切都是以普通用戶為代價的。

July 16, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
7 + 7是什麼?