ИБ-эксперт Лукас Стефанко (Lukas Stefanko) обнаружил фишинговые Android-приложения, способные также перехватывать одноразовые пароли, высылаемые пользователю в соответствии с процедурой двухфакторной аутентификации (2FA). Разработчики вредоносного ПО нашли способ обойти ограничения Google на получение доступа к SMS и истории звонков — вместо этого зловред запрашивает разрешение на чтение уведомлений, выводимых другими приложениями.

Фишинговые программы, замаскированные под клиент турецкой криптовалютной биржи BtcTurk, были выложены на Google Play в период с 7 по 13 июня. По словам исследователя, найденные им фальшивки работают на версиях Android 5.0 и  выше — они составляют угрозу для 90% устройств под управлением этой мобильной ОС.

После установки зловред запрашивает доступ к управлению уведомлениями, а получив разрешение, отображает фальшивую форму регистрации на BtcTurk. Введенные учетные данные в фоновом режиме отправляются на сервер злоумышленников, а жертве демонстрируется поддельное сообщение об ошибке.

«Благодаря предоставленному разрешению вредоносное ПО может читать оповещения, поступающие из других приложений… В программе есть фильтры для выбора уведомлений только из тех приложений, названия которых содержат ключевые слова «gm, yandex, mail, k9, outlook, sms, messaging»», — объяснил исследователь. Причем происходит это вне зависимости от настроек, заданных жертвой для отображения оповещений на экране блокировки.

Чтобы пользователь не заметил мошеннические транзакции, преступники могут скрыть входящие уведомления и даже установить режим звонка устройства в беззвучный режим. Несмотря на то, что описываемый метод позволяет злоумышленникам перехватить только ту информацию, которая помещается в текстовом поле оповещения, во многих случаях этого должно быть достаточно для перехвата одноразовых паролей и обхода двухфакторной аутентификации.

Исследователь также отметил, что это первое известное ему вредоносное ПО, способное обходить новые ограничения Google на чтение SMS.

Система уведомлений в Android привлекает мошенников не впервые. В конце мая ИБ-исследователи сообщили о том, что преступники научились маскировать свои сообщения на устройствах под этой ОС под оповещения легитимных приложений. Для этого они внедряли вредоносный код на подконтрольные веб-страницы и с его помощью отправляли жертвам уведомления о якобы пропущенном звонке. Чтобы не поддаться на уловку злоумышленников, пользователям порекомендовали внимательно проверять наименование программы, от которой поступило уведомление.

Категории: Вредоносные программы