2019年3月,Google限制了安卓APP中对SMS和Call log权限的使用,这样做的一个好的有效就是凭证窃取APP无法滥用这些权限来绕过基于SMS的双因子认证机制。
研究人员近日分析发现一些安卓恶意应用使用了一种绕过Google 2019年3月发布的全新策略的新绕过技术,恶意应用使用这种技术可以在不需要SMS权限的情况下访问SMS 2FA消息中的一次性密码(one-time password, OTP)。该技术还可以用来从基于邮件的2FA系统中获取OTP。PHP大马
恶意APP会伪装成土耳其加密货币交易所BtcTurk,对登陆凭证钓鱼。除了拦截SMS消息来绕过对用户账号和交易的2FA保护外,恶意APP还可以从出现在被黑的设备中的通知中获取OTP。除了读取2FA通知外,APP还可以是删除这些信息以防用户注意到这些欺诈性的交易。
ESET检测到的恶意软件(Android/FakeApp.KP)是目前已知的第一个绕过Google最新的SMS权限限制的安卓应用。
恶意APP
研究人员分析的第一个恶意APP是6月7日上传到Google play上的,开发者和APP名字都是BTCTurk Pro Beta。ESET在向谷歌安全团队报告该安全问题前,已经有超过50个用户安装了该应用。BtcTurk是一个土耳其的加密货币交易所,其官方手机APP在交易所网站有链接,但是只有土耳其国内用户可用。
研究人员分析的第一个恶意APP是6月11日上传到Google play上的,APP名为BtcTurk Pro Beta,开发者名为BtSoft。虽然这两款APP使用非常相像的外观,但看起来像是来自不同的攻击者。研究人员在6月12日报告了该APP,安装量不足50人。
第二个APP被谷歌官方移除