Eset знайшов у Google Play шкідливі програми для обходу двофакторної аутентифікації
Eset виявив у Google Play шкідливі програми для обходу двофакторної аутентифікації
Експерти антивірусної компанії Eset виявили в Google Play низку шкідливих програм, які прагнуть отримати доступ до одноразових паролів для обходу двофакторної аутентифікації.
Підробні програми були замасковані під легальну криптовалютну біржу BtcTurk.
Після запуску однієї з трьох програм (BTCTurk Pro Beta, BtcTurk Pro Beta та BTCTURK PRO) користувачу надсилався запит на доступ до повідомлень, після чого з'являлося вікно для введення облікових даних у систему BtcTurk.
Ввівши автентифікаційні дані, користувач отримував повідомлення про технічні неполадки та неможливість продовжити реєстрацію. Вся введена ним інформація та спливаючі повідомлення з кодом автентифікації направлялися на віддалений сервер кіберзлочинців.
При цьому шахраї бачили лише текстове поле спливаючих повідомлень. Якщо вона не містила пароль, спроба обходу двофакторної автентифікації провалювалася.
Eset зазначає, що виявлення шкідливих програм із подібним функціоналом — перший відомий випадок з моменту введення обмежень доступу Android-додатків до журналу дзвінків та SMS.
«Після обмеження правил з боку Google шахраї втратили можливість зловживати дозволами для обходу двофакторної автентифікації SMS. Однак тепер ми бачимо, що їх все ж таки можна обійти», — сказав експерт Eset.
Фальшиві криптовалютні програми були завантажені в Google Play у червні 2019 р.; зараз вони видалені.
Антивірусні продукти Eset детектують загрозу як Android/FakeApp.KP.