ESET-onderzoekers hebben namaak-cryptocurrencyapps ontdekt die een tot dusver niet eerder geziene techniek gebruiken om SMS-gebaseerde tweefactorauthenticatie te omzeilen en zo de recente SMS-machtigingsrestricties van Google te omzeilen. In maart 2019 beperkte Google het gebruik van SMS- en belhistoriemachtiging in Androidapps om te voorkomen dat zich kwaadaardige apps ze kunnen misbruiken voor illegale praktijken.
De apps, die luisteren naar de naam TCTurk Pro Beta, BtcTurk Pro Beta en BTCTURK PRO, doen zich voor als de Turkse cryptocurrencybeurs BtcTurk en phishen naar inloggegevens voor de dienst. Deze apps halen de eenmalige code op uit de notificatiebalk waarin de SMS verschijnt. Behalve het lezen van de 2FA-notificaties kunnen de apps ze ook negeren zodat de slachtoffers niet doorhebben dat fraudeleuze transacties plaatsvinden. Alle drie de apps werden in juni 2019 geüpload in Google Play en zijn kort na ESETs melding eraf gehaald.
Notification access
Nadat de namaak-BtcTurk-apps zijn geïnstalleerd en opgestart, vragen ze om een machtiging genaamd Notification access. De apps kunnen vervolgens de getoonde notificaties van alle apps op het apparaat lezen, negeren en bijbehorende acties uitvoeren. Volgens de analyse van ESET richten de aanvallers achter deze apps zich specifiek op notificatie van SMS- en mailapps.
“Eén van de positieve effecten van Googles restricties van maart 2019 was dat gegevensstelende apps niet langer in staat waren om deze machtigingen voor SMS-gebaseerde 2FA-mechanismes voorbij te gaan. Echter, met de ontdekking van deze namaak-apps, hebben we nu de eerste malware gezien die deze SMS-machtigingsrestrictie omzeilt,” zei ESET-onderzoeker Lukáš Štefanko, auteur van het onderzoek.
De Notification access-machtiging werd geïntroduceerd in de Jelly Bean 4.3-versie van Android. Androidapparaten met een versie lager dan 4.3 bevatten de beveiligingsfunctie van Google niet en zijn sowieso kwetsbaar voor het uitlezen van notificaties. Androidapparaten met versie 4.3 en hoger zijn alleen kwetsbaar als je de app toestemming geeft om notificaties uit te lezen. De namaak-BtcTurk-apps vereisen Androidversie 5.0 (KitKat) of hoger om te draaien; dat betreft ongeveer 90% van alle Androidapparaten.
Deze techniek beperkt zich tot het uitlezen van notificatieberichten. Er is daarmee dus geen garantie op een succesvolle onderschepping van de éénmalige code. De inhoud van het SMS-bericht kan namelijk langer zijn dan de hoeveelheid tekst die in de notificatie past, waardoor een deel van het SMS-bericht onleesbaar is voor kwaadaardige apps. Echter zijn SMS-berichten die verificatiecodes bevatten doorgaans kort en wordt daarmee de kans verhoogd dat de verificatiecode middels deze techniek gestolen kan worden. E-mailberichten zijn daarintegen vaak langer dan SMS-berichten, waardoor de kans lager is dat een aanvaller de verificatiecodes uit kan lezen.