Los investigadores que monitorean el malware que afecta a los dispositivos Android descubrieron aplicaciones maliciosas que pueden robar contraseñas de un solo uso (OTP) del sistema de notificación.
Este desarrollo pasa por alto la prohibición de Google de las aplicaciones que acceden a SMS y registros de llamadas sin justificación.
Google aplicó la restricción a principios de este año específicamente para reducir el riesgo de permisos confidenciales donde no son necesarios. En teoría, esto también se tradujo en una mayor protección para los códigos de autenticación de dos factores (2FA) entregados a través del servicio de mensajes cortos.
Los ciberdelincuentes encontraron una forma de evitar esta limitación y, en su lugar, aprovecharon las notificaciones para obtener la información confidencial. Este método también abre la puerta para obtener códigos de acceso de corta duración que se entregan por correo electrónico.
Entre el 7 de junio y el 13 de junio se cargaron en Google Play varias aplicaciones maliciosas que suplantaban el intercambio de criptomonedas turco BtcTurk.
Su propósito era robar las credenciales de inicio de sesión del servicio y, muy probablemente, probarlas con otros servicios donde pueda estar disponible la protección 2FA contra el acceso no autorizado.
Dado que el acceso a SMS no se explica por ninguna de sus características, las aplicaciones falsas toman otra ruta y solicitan permiso para revisar las notificaciones y controlarlas.
"Este permiso le permite a la aplicación leer las notificaciones mostradas por otras aplicaciones instaladas en el dispositivo, descartar esas notificaciones o hacer clic en los botones que contienen", dice Lukas Stefanko, investigador de malware de Android en ESET.
Stefanko dice que las dos aplicaciones falsas BtcTurk que descubrió se ejecutan en Android 5.0 (KitKat) y superior, lo que significa que podrían afectar hasta el 90% de los dispositivos Android activos.
Inmediatamente después de recibir el permiso para recibir notificaciones, las aplicaciones maliciosas inician el phishing para obtener las credenciales del servicio de criptomoneda presentando un formulario de inicio de sesión falso.
Una vez que se envían el nombre de usuario y la contraseña, la víctima recibe un mensaje de error que informa que hubo un problema causado por el servicio de verificación de SMS y que la aplicación emitirá una notificación cuando finalice el trabajo de mantenimiento.
"Gracias al permiso de acceso a la Notificación, la aplicación maliciosa puede leer las notificaciones provenientes de otras aplicaciones, incluidas las aplicaciones de SMS y de correo electrónico. La aplicación tiene filtros en su lugar para dirigirse únicamente a las notificaciones de aplicaciones cuyos nombres contienen las palabras clave" gm, yandex, mail, k9 Perspectiva, sms, mensajería ", explica el investigador.
El atacante recibe el contenido que se muestra en las notificaciones de todas las aplicaciones seleccionadas. Esto no se ve afectado por ninguna de las configuraciones que realiza el usuario, como ocultar el contenido cuando la pantalla está bloqueada.
Además, el atacante puede descartar las notificaciones y silenciarlas para que la víctima no tenga conocimiento del acceso no autorizado.
Un inconveniente de esta técnica, señala Stefanko, es que solo puede robar el texto que se ajusta a la notificación. Todo lo que esté fuera permanece oculto para el atacante. Si bien esto no siempre puede incluir el código de acceso único, un pirata informático podría tener éxito en la mayoría de los casos.
Parece que esta técnica se está probando activamente en usuarios de criptomonedas turcos, ya que la semana pasada se descubrió otra aplicación que funciona de la misma manera.
Se hizo pasar por el intercambio de criptomonedas Koineks y fue menos avanzado que los imitadores de BtcTurk, ya que no pudo silenciar ni descartar las alertas.
Fecha actualización el 2021-06-18. Fecha publicación el 2019-06-18. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil