Le applicazioni di criptovaluta contraffatte aggirano la politica sul copyright di Google

I suoi ricercatori ESET hanno scoperto applicazioni di criptovaluta contraffatte che utilizzano una tecnica di bypass dell'autenticazione senza precedenti 2FA basato su SMS, violando così le recenti restrizioni sulle sue licenze SMS Google.

Τnel marzo 2019, il Google limitare l'uso delle licenze per i messaggi SMS e le applicazioni di Call Log in Android, al fine di proteggere gli utenti da applicazioni fastidiose con scopi illegali.

Le applicazioni, denominate "BTCTurk Pro Beta","BtcTurk Pro Beta"E"BTCTURK PRO"Imita l'exchange di criptovalute turco BtcTurk e le credenziali di connessione "fish" nel servizio. Queste applicazioni dannose non rubano i messaggi SMS per aggirare la protezione 2FA degli account e delle transazioni degli utenti, ma ottengono il codice monouso (OTP) dalle notifiche visualizzate sullo schermo del dispositivo compromesso. Ma oltre alla capacità di "leggere" gli avvisi 2FA, le applicazioni possono anche eliminarli, rendendo difficile per le vittime rilevare transazioni illegali. Tutte e tre le applicazioni sono state caricate su Google Play nel giugno 2019 e sono stati rimossi immediatamente dopo il suo aggiornamento ESET.

Una volta installate e in esecuzione, le applicazioni false richiedono l'autorizzazione per accedere alle notifiche. Possono quindi leggere le notifiche visualizzate da altre applicazioni installate sul dispositivo, rifiutarle o fare clic sui pulsanti che le contengono. Secondo l'analisi di ESET, i criminali informatici dietro queste applicazioni prendono di mira specificamente le notifiche di SMS ed e-mail.

«Grazie alle restrizioni imposte da Google nel marzo 2019, le applicazioni che hanno rubato le credenziali di accesso avevano perso la possibilità di abusare delle licenze necessarie per aggirare le 2FA basate su SMS. Tuttavia, scoprendo queste false applicazioni, abbiamo visto per la prima volta un malware che aggirava questa restrizione sui permessi SMSHa detto il ricercatore ESET e autore dello studio, Lukáš ftefanko.

Il diritto di accesso alle notifiche è apparso per la prima volta nella versione Android di Jelly Bean 4.3, il che significa che quasi tutti i dispositivi Android attivi sono vulnerabili a questa nuova tecnica. Le applicazioni false di BtcTurk possono essere eseguite su Android versione 5.0 (KitKat) e successive. Ciò significa praticamente che interessano circa il 90% dei dispositivi Android.

Questa tecnica ha alcune limitazioni nella sua efficacia nell'eludere la certificazione 2FA: gli intrusi hanno accesso solo al testo che corrisponde al campo di testo dell'avviso, quindi non è certo che il testo conterrà il codice OTP. In SMS per 2FA, i messaggi sono generalmente brevi ed è probabile che i codici OTP corrispondano al messaggio di avviso. Tuttavia, nelle e-mail 2FA, la lunghezza e il formato del messaggio sono più vari, il che potrebbe influire sull'accesso ai dati da parte del crimine informatico.

Η ESET esorta gli utenti sospettati di utilizzare una di queste applicazioni dannose a disinstallarle immediatamente controllando il loro account per transazioni sospette. Per rimanere generalmente al sicuro da qualsiasi malware su Android, ESET offre i seguenti suggerimenti:

• Affidati alle applicazioni di criptovaluta e servizi finanziari solo se collegate al loro sito Web ufficiale.
• Inserisci le tue informazioni sensibili in moduli elettronici solo se sei sicuro della loro sicurezza e legalità.
• Tieni aggiornato il tuo dispositivo.
• Utilizza una soluzione di sicurezza mobile affidabile per bloccare e rimuovere le minacce.
• Preferisci servizi basati su codice (OTP) basati su software o servizi basati su token su SMS o e-mail.
• Usa solo applicazioni affidabili, ma anche in questo caso consenti loro di accedere alle notifiche solo se c'è una buona ragione.

fonte