Aplicativos maliciosos para Android podem acessar senhas e contornar mecanismos de autenticação de duas etapas para roubar informações. Quem descobriu a prática foram os pesquisadores da ESET: segundo eles, para roubo das informações, os criminosos utilizavam um aplicativo de criptomoeda da Turquia, o BtcTurk, que estava disponível na Play Store.
Esse tipo de app costuma pedir permissão para assumir controle das configurações de SMS, o que possibilitaria que o software interceptasse códigos de verificação criados para adicionar uma segunda camada de segurança às contas online. No início do ano, o Google restringiu as permissões a diversos softwares: para solicitá-las, o dono da aplicação deve justificar o motivo da solicitação.
Nos aplicativos encontrados pela ESET, o desenvolvedor criou uma maneira de driblar as alterações do Google. O primeiro deles, o “BTCTurk Pro Beta”, foi enviado para a Play Store em 7 de junho de 2019. O segundo, tem nome semelhante, mas usa letras minúsculas: “BtcTurk Pro Beta”.
Depois que um desses aplicativos é baixado e iniciado, o software solicita permissão de “Acesso de notificação” para ler as notificações exibidas por outros programas no dispositivo, descartá-las ou clicar nos botões que elas contêm. Em seguida, mostra uma solicitação de login falsa para acessar a plataforma de criptomoeda turca. Se as credenciais forem digitadas, uma página de erro é exibida enquanto elas são levadas para um servidor de controle administrado pelo invasor.
“Em vez de interceptar mensagens de SMS para contornar a proteção de duas etapas em transações e contas de usuários, os aplicativos maliciosos retiram as senhas das notificações que aparecem na tela do dispositivo comprometido”, diz a ESET. “Além de ler as notificações do dispositivo, eles podem apagá-las para impedir que as vítimas percebam transações fraudulentas.”
Os apps infectados também têm filtros ativados para fazer a varredura de notificações na tela de bloqueio e, portanto, apenas alertas de interesse são interceptados. As palavras-chave incluem “mail”, “outlook”, “sms” e “messaging”. A técnica é nova e eficaz, mas apenas rouba o que é mostrado na barra de notificações. As informações podem não estar lá, o que faz que o vetor de ataque nem sempre seja bem-sucedido.
Felizmente, acredita-se que menos de 100 usuários instalaram os aplicativos antes de eles serem denunciados em 12 de junho e removidos. No entanto, como a permissão de acesso a notificações foi introduzida no Android 4.3, a equipe de segurança alertou que essa técnica pode afetar “quase todos os dispositivos Android existentes”.
Via: ZDnet