A Google 2019 márciusában tiltotta be az androidos alkalmazások esetében az SMS-üzenetekhez és hívásokhoz való hozzáférést, hogy megelőzze azok rosszindulatú felhasználását.

A “BTCTurk Pro Beta,” “BtcTurk Pro Beta” és “BTCTURK PRO” elnevezésű programok egy török kriptovaluta kereskedő, a BtcTurk alkalmazásának adják ki magukat, és céljuk a belépési adatok megszerzése. A kétfaktoros azonosításhoz szükséges SMS-üzenetek megzavarása helyett az alkalmazások az egyszer használatos jelszavakat (one-time passwords - OTP) szerzik meg, az eszköz képernyőjén megjelenő hamis figyelmeztetések révén.

A 2FA értesítések olvasása mellett az alkalmazások el is tüntetik ezeket, így a felhasználók nem értesülnek a jogosulatlan tranzakciókról. Mindhárom alkalmazás 2019 júniusában jelent meg a Google Play áruházban, azonban az ESET figyelmeztetése után eltávolításra kerültek.

Kép: A hamis alkalmazások a Google Play áruházban

Miután a hamis BtcTurk alkalmazások telepítésre kerültek, engedélyt kérnek az értesítésekhez való hozzáféréshez (Notification access). Ezután az alkalmazások így már tudják olvasni a készüléken más alkalmazások értesítéseit, sőt törölhetik vagy el is tudják tüntetni ezeket, illetve ha van kattintható gomb az értesítésekben, akkor a felhasználó beavatkozása nélkül észrevétlenül jóvá is hagyhatják a tranzakciókat a nevünkben.

Az ESET elemzése szerint a támadók kifejezetten az SMS és email alkalmazások által küldött jóváhagyó értesítéseket célozzák a támadás során.

Mit tehetünk?

• Csak akkor bízzunk meg a kriptovalutás és más pénzügyi alkalmazásokban, ha a szolgáltatás hivatalos webhelyén lévő link vezet a Google Play áruházba.
• Csak akkor adjuk meg személyes adatainkat az online formanyomtatványokban, ha biztosak vagyunk abban, hogy azok biztonságosak és hivatalosak.
• Folyamatosan frissítsük készülékeinken mind az Android hibajavításait, mind pedig az alkalmazásokat.
• Használjunk megbízható mobilbiztonsági megoldást a fenyegetések blokkolásához és eltávolításához.