Hamis kriptovaluta-alkalmazások lopják el adatainkat

Az ESET szakemberei olyan hamis kriptovaluta-alkalmazásokat fedeztek fel, amelyek eddig még nem látott technikával játsszák ki az SMS-alapú kétfaktoros azonosítást (2FA), megkerülve a Google nemrégiben életbe lépett korlátozásait. A Google 2019 márciusában tiltotta be az androidos alkalmazások esetében az SMS-üzenetekhez és a hívásokhoz a hozzáférést, hogy megelőzze rosszindulatú felhasználásukat.

A „BTCTurk Pro Beta,” „BtcTurk Pro Beta” és „BTCTURK PRO” elnevezésű programok egy török kriptovaluta-kereskedő, a BtcTurk alkalmazásának adják ki magukat, és céljuk a belépési adatok megszerzése. A kétfaktoros azonosításhoz szükséges SMS-üzenetek megzavarása helyett az alkalmazások az egyszer használatos jelszavakat (one-time passwords – OTP) szerzik meg, az eszköz képernyőjén megjelenő hamis figyelmeztetések révén. A 2FA értesítések olvasása mellett az alkalmazások el is tüntetik őket, így a használók nem értesülnek a jogosulatlan tranzakciókról. Mindhárom alkalmazás a minap jelent meg a Google Play áruházban, azonban az ESET figyelmeztetése után eltávolították.

A hamis alkalmazások a Google Play áruházban

Miután a hamis BtcTurk alkalmazásokat az óvatlan használó telepítette, az applikációk engedélyt kérnek az értesítésekhez való hozzáféréshez (Notification access). Így aztán már tudják olvasni a készüléken más alkalmazások értesítéseit, sőt törölhetik vagy el is tudják tüntetni őket, illetve: ha van kattintható gomb az értesítésekben, akkor a használó beavatkozása nélkül észrevétlenül jóvá is hagyhatják a tranzakciókat a nevünkben. Az ESET elemzése szerint a támadók az SMS- és email-alkalmazások által küldött jóváhagyó értesítéseket célozzák a támadáskor.

Az értesítésekhez a hozzáférési engedélyt az Android Jelly Bean 4.3 verziójában vezették be, ami azt jelenti, hogy csaknem minden aktív androidos készüléket érint ez az új módszer. A hamis BtcTurk alkalmazások az Android 5.0-ás (KitKat) és újabb verziókra érhető el, így az androidos eszközök 90 százalékát érinti.

Hogyan védhetjük meg magunkat az új módszerek, általában az androidos kártevők ellen?

  • Csak akkor bízzunk meg a kriptovalutás és más pénzügyi alkalmazásokban, ha a szolgáltatás hivatalos webhelyén lévő link vezet a Google Play áruházba.
  • Csak akkor adjuk meg személyes adatainkat az online formanyomtatványokban, ha biztosak vagyunk abban, hogy biztonságosak és hivatalosak.
  • Folyamatosan frissítsük készülékeinken mind az Android hibajavításait, mind pedig az alkalmazásokat.
  • Használjunk megbízható mobilbiztonsági megoldást a fenyegetések blokkolásához és eltávolításához
  • Amikor csak lehetséges, használjunk szoftver alapú vagy hardveres tokeneneket az egyszer használatos jelszavak generálásához, az SMS vagy e-mail helyett.
  • Csak olyan alkalmazásokat használjunk, amelyeket megbízhatónak ítélünk, és még ezek esetében is csak azoknál engedélyezzük az értesítésekhez való hozzáférést, amelyeknek jogszerű oka van ezt kérni.

Az újonnan felfedezett androidos kártevőről további részletek itt olvashatók.