Фишинговая вредоносная программа для Android мимикрирует под турецкую криптобиржу

18 июня

Программа считывает с экрана код полученной пароля при прохождении процедуры двойной аутентификации и получает доступ к счетам пользователя на турецкой криптобирже.

Компания ESET, хорошо известная на рынке своей антивирусной программой NOD32, сообщила об обнаружении вредоносных программ для Android, размещенных в стандартном магазине приложений Google Play. Эти программы «научились» обходить ограничения Google на доступ сторонних приложений к сервису SMS и тем самым могут перехватывать код, передаваемый пользователю при прохождении проверки по двухфакторной аутентификации (2FA).

Подробно о мошеннической программе

Эксперты ESET нашли приложение в Google Play, которое умеет получать доступ к разовому паролю, пересылаемому пользователю по SMS. Благодаря этому, программа может обходить ограничения, недавно введенные Google. Речь идет о принудительном запрете приложениям сторонних разработчиков получать доступ к звонкам и SMS, которые с недавних пор ввела Google. Компания посчитала, что установка такого запрета не позволит более фишинг-программам читать входящие сообщение, где передается код авторизации. Раньше этой уязвимостью неоднократно пользовались мошенники.

Однако мошенники придумали более хитрое решение. Они научили приложение запрашивать доступ к системе уведомлений. Благодаря этому, они научились копировать уникальный код двухфакторной аутентификации и передавать его обратно во вредоносную программу.

Как выяснили в ESET, такую методику использует новое приложение из магазина Google Play, которое мимикрирует под турецкую криптобиржу BtcTurk. Вредоносная программа, «вместо перехвата SMS-сообщения для обхода 2FA-защиты получает пароль из уведомления, которое появляется на дисплее скомпрометированного устройства. Это открывает ей доступ к счетам и операциям пользователя».

Вредоносная программа производит также ряд других операций, которые лишают пользователя возможности заметить, что на него совершена атака. В результате переданный биржей пароль на прохождение двойной аутентификации оказывается скомпрометированным.

«Помимо чтения уведомлений 2FA, приложение также не позволяет жертве заметить, что при работе с биржей выполняются мошеннические другие операции», – говорится в сообщении ESET.

Источник: ESET

К числу мошеннических приложений нового типа из Google Play эксперты ESET отнесли приложение BTCTurk Pro Beta. Оно было размещено в магазине приложений от имени разработчика BTCTurk Pro Beta. Фальшивая программа уже была установлена у более 50 пользователей к тому моменту, когда ESET сообщил Google о своей находке.

Источник: ESET

Помимо этой программы позднее в магазин приложений Google Play были загружены еще две аналогичные программы. Однако позднее они были удалены.

Казалось бы, какой интерес может быть до турецких мошенников в России? Однако эксперты ESET предупреждают, что если подобная функция была реализована для конкретной биржи, то она может появиться скоро в приложениях и для других криптобирж.

Войдите на сайт, чтобы оставить комментарий
0 комментариев
Популярные
Новые

Рассылка

Подписывайтесь на обновления и анонсы

18+
Москва, Берсеневская набережная 6/2
+7 (495) 118-41-48
2019 © Blockchain.ru, Сделано в Charmer
  • Дисклеймер
  • Пользовательское соглашение
  • Политика конфиденциальности

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera