Uma análise da ESET revela uma nova técnica utilizada para contornar o duplo fator de autenticação baseado em SMS, que consegue contornar as recentes restrições de permissões do Google para SMS
Quando, em março de 2019, a Google restringiu o uso de permissões de SMS e registo de chamadas em aplicações Android, um dos efeitos positivos foi que as aplicações que roubam credenciais deixaram de conseguir usar estas permissões para enganar os mecanismos de duplo fator de autenticação (2FA) baseados em SMS.
Porém, descobrimos recentemente apps maliciosas capazes de aceder a passwords de utilização única (OTP) em mensagens SMS de duplo fator de autenticação, sem utilizar as permissões de SMS, enganando as recentes restrições da Google. Como se não fosse suficiente, esta técnica também funciona para obter passwords de utilização única de alguns sistemas de 2FA baseados em correio eletrónico.
Na expetativa de roubar as credenciais de início de sessão do serviço, as aplicações fazem-se passar pela plataforma de compra e venda de criptomoedas turca BtcTurk. Em vez de intercetar SMS para enganar a proteção 2FA nas contas e transações dos utilizadores, estas aplicações maliciosas utilizam a password de utilização única das notificações que aparecem no ecrã do dispositivo comprometido. Além de ler as notificações de 2FA, as aplicações podem também descartá-las para evitar que as vítimas percebam a ocorrência de transações fraudulentas.
O malware, que em todas as suas formas é detetado pelos produtos ESET como Android/FakeApp.KP, é o primeiro que se conhece com a capacidade de enganar as novas restrições de permissões de SMS.
As aplicações maliciosas
A primeira das aplicações maliciosas que analisámos foi enviada para o Google Play a 7 de junho de 2019 como “BTCTurk Pro Beta” e sobre o nome do responsável “BTCTurk Pro Beta”. Foi instalada por mais de 50 utilizadores antes da ESET informar as equipas de segurança da Google. O BtcTurk é uma plataforma de compra e venda de criptomoedas turca, o link para a sua aplicação móvel oficial está no seu site web oficial e apenas está disponível para utilizadores na Turquia.
A segunda aplicação ficou disponível a 11 de junho de 2019 como “BtcTurk Pro Beta” sob a responsabilidade da “BtSoft”. Embora as duas aplicações tenham uma aparência muito semelhante, parecem ser trabalho de diferentes hackers. Informámos sobre esta aplicação a 12 de junho de 2019, quando foi instalada por menos de 50 utilizadores.
Depois de ter sido eliminada esta segunda aplicação, os mesmos hackers carregaram outra aplicação com idêntica funcionalidade, desta vez chamada de “BTCTURK PRO” e a usar o mesmo nome de programador, ícone e capturas de ecrã. Informámos sobre esta aplicação a 13 de junho de 2019.
A figura 1 mostra as primeiras duas aplicações maliciosas tal como apareceram no Google Play.
A nova técnica para enganar o 2FA
Após a instalação, as duas aplicações descritas na secção anterior seguem um procedimento similar. Nesta secção do post, vamos descrever a nova técnica para enganar o duplo fator de autenticação utilizada pela primeira aplicação “BTCTurk Pro Beta”, como exemplo.
Uma vez iniciada, a aplicação solicita uma permissão denominada de “Notification access”, como se pode ver na Figura 2. Esta permissão permite à aplicação ler as notificações mostradas por outras aplicações instaladas no dispositivo, descartar essas notificações ou clicar nos botões disponíveis.
A permissão de Acesso às Notificações foi introduzida na versão 4.3 do Android (Jelly Bean), o que significa que quase todos os dispositivos Android ativos são suscetíveis a esta nova técnica. Ambas as aplicações BtcTurk falsas requerem a versão Android 5.0 (KitKat) ou superior para funcionar, pelo que poderiam afetar cerca de 90% dos dispositivos Android.
Depois do utilizador conceder essa permissão, a aplicação mostra um formulário de início de sessão falso que solicita credenciais para BtcTurk, como se pode ver na Figura 3.
Depois de introduzir as credenciais, é mostrada uma falsa mensagem de erro em turco, como se vê na Figura 4. A tradução dessa mensagem é: “Upss! Devido a uma alteração realizada no sistema de verificação de SMS é temporariamente impossível de aceder à nossa aplicação móvel. Será notificado através da aplicação logo que seja possível. Obrigada pela sua compreensão”.
Em segundo plano, as credenciais introduzidas são enviadas para o servidor do hacker.
Graças à permissão de acesso às notificações, a aplicação maliciosa é capaz de ler as notificações provenientes de outras aplicações, onde se incluem as aplicações de SMS e correio eletrónico. A app conta com filtros para se dirigir apenas a notificações de aplicações cujos nomes contém as palavras-chave “gm, yandex, mail, k9, Outlook, sms, mensagem”, como se pode ver na Figura 5.
O conteúdo mostrado por todas as notificações das aplicações marcadas a branco é enviado para o servidor do hacker. Os hackers podem aceder ao conteúdo, independentemente da configuração que utilize a vítima para mostrar notificações no ecrã bloqueado. Os atacantes por trás desta aplicação também podem descartar notificações recebidas e configurar o modo do dispositivo silenciosamente, evitando que as vítimas se apercebam de transações fraudulentas.
Quando à eficácia para escapar ao 2FA, a técnica tem as suas limitações: os hackers podem apenas aceder ao texto que se ajusta ao campo de texto da notificação e, como tal, não é garantido que inclua a password de uma única utilização. Os nomes das aplicações direcionadas mostram-nos que tanto o 2FA baseado em SMS como o correio eletrónico é de interesse para os operadores por trás deste malware. No 2FA através de SMS, as mensagens são geralmente curtas e é provável que as passwords de uma única utilização encaixem na mensagem de notificação. No entanto, no caso do 2FA através do correio eletrónico, a dimensão e o formato das mensagens são muito mais variados, o que poderia afetar o acesso do hacker à password de uma única utilização.
Uma técnica de evolui rapidamente
Na semana passada, analisámos uma aplicação maliciosa que simulava ser a plataforma de compra e venda de criptomoedas turca Koineks (agradecemos ao @DjoNn35 por nos avisar acerca desta aplicação). É interessante que a falsa aplicação Koinesk utiliza a mesma técnica maliciosa para enganar o 2FA baseado em correio eletrónico e SMS, mas não tem a capacidade de descartar e silenciar as notificações.
Segundo a nossa análise, foi criada pelo mesmo hacker que a aplicação “BTCTurk Pro Beta” analisada neste mesmo post, o que demonstra que os atacantes estão a trabalhar nesta técnica para conseguirem “melhores resultados” no seu objetivo de roubar mensagens SMS.
Como estar protegido
Se desconfia que pode ter instalado e utilizado uma destas aplicações maliciosas, recomendamos-lhe que a desinstale de imediato. Verifique as suas contas para detetar atividades suspeitas e altere as suas passwords.
No mês passado, alertámos sobre o crescente preço da bitcoin e como isso levou a uma nova de malware de criptomoeda no Google Play. Esta última descoberta mostra que criminosos procuram ativamente métodos para enganar as medidas de segurança e assim aumentar a possibilidade de atingir os seus objetivos.
Para se manter a salvo desta nova técnica, assim como do malware financeiro para Android em geral, recomendamos:
- Confiar apenas em aplicações relacionadas com a criptomoeda e outras aplicações financeiras apenas quando vinculadas ao site oficial do serviço;
- Introduza as suas informações confidenciais em formulários online apenas se estiver seguro da legitimidade do mesmo;
- Mantenha o seu dispositivo atualizado;
- Utilize uma solução de segurança móvel fiável para bloquear e eliminar ameaças. Os sistemas da ESET detetam e bloqueiam estas aplicações maliciosas como Android/ FakeApp.KP;
- Sempre que possível, utilize geradores de passwords de uma única utilização (OTP) baseados em software ou hardware em vez de SMS ou correio eletrónico;
- Utilize apenas aplicações que considere fiáveis e mesmo assim apenas permita o acesso às notificações aquelas que tenham uma razão legítima para o solicitar.
Por Lukas Stefanko
