A kétlépcsős azonosítást is megkerüli egy újonnan felfedezett androidos malware

 

Az ESET egy elemzője, Lukas Stefanko olyan hitelesítő adatokat gyűjtő káros alkalmazásokat fedezett fel, amelyek újfajta módszerrel képesek az SMS-alapú kétfaktoros autentikáció megkerülésére, a Google által márciusban bevezetett hívásnaplóra és az alapértelmezett SMS-kezelőre vonatkozó korlátozásokat is kijátszva. Stefanko a felfedezést két olyan Android alkalmazás kapcsán tette, amelyek a török BtcTuk kriptovalutát bányászó applikációnak adják ki magukat („BTCTurk Pro Beta”, illetve a „BtcTurk Pro Beta”). A káros alkalmazások indításkor hozzáférést kérnek az értesítésekhez, és amennyiben ezt a felhasználó jóváhagyja, egy hamis BtcTurk bejelentkezési oldalt jelenítenek meg a hitelesítő adatok megszerzéséhez. Ez önmagában még nem volna elegendő a kétfaktoros azonosítás miatt, ezért a támadók egy rendszerüzenetnek álcázott hamis hibaüzenetet jelenítenek meg, amelyben tájékoztatják a felhasználót, hogy az SMS ellenőrzési rendszerben végrehajtott változások miatt jelenleg nem érhető el a szolgáltatás mobileszközön. Eközben azonban a hozzáférési engedélynek köszönhetően a támadók „elfogják” a 2FA során küldött, egyszer használatos jelszót (One Time Password ─ OTP) tartalmazó push üzenetet, amelynek birtokában már teljes hozzáférést szereznek a támadott fiók felett. A támadási módszer bármely szolgáltatás ellen kihasználható, amely push üzenetben küldi ki a jelszót.

(www.securityweek.com)