Aplicativos maliciosos que se passam pelo BtcTurk, um serviço turco de transferência de criptomoedas, estão driblando as novas medidas de segurança adotadas pelo Google. De acordo com pesquisadores, os apps estão conseguindo acessar senhas de uso único e autenticações de dois fatores (2FA) baseadas em SMS ou email. Depois disso, eles realizam campanhas de phishing para adquirir as credenciais de login dos usuários.

Em vez de interceptar as mensagens SMS e invadir a atividade dos usuários de uma vez, o aplicativo fraudulento recolhe as senhas de uso único através de notificações que aparecem na tela do aparelho. O pior é que, além de poder ler as notificações de autenticação, o app também pode desligá-las – ou seja, as vítimas podem nem perceber uma transação fraudulenta em curso.

O primeiro aplicativo malicioso analisado pela ESET, empresa especialista em cibersegurança, chegou ao Google Play no dia 7 deste mês, com o nome de “BTCTurk Pro Beta” – homônimo do desenvolvedor. Ele foi instalado por mais de 50 usuários antes de ser reportado pela ESET à equipe de segurança do Google. Quatro dias depois, um segundo aplicativo foi carregado com o nome “BtcTurk Pro Beta”. Os invasores preferiram usar o nome “BtSoft” para o desenvolvedor dessa vez.

Na essência, os dois apps usam um disfarce semelhante, mas os pesquisadores apontam que são usados por ciberatacantes distintos. O segundo aplicativo foi visto somente no dia 12 de junho, depois de ser instalado por menos de 50 pessoas. Incansáveis, os invasores carregaram um terceiro programa com função idêntica, dessa vez com o nome de “BTCTURK PRO” para app e desenvolvedor, com o mesmo ícone do anterior. A nova versão foi denunciada no dia 13.

Não é a primeira vez

A ESET também analisou outros aplicativos que imitavam o Koineks, outro serviço turco de compra e venda de criptomoedas. Eles se utilizavam das mesmas ferramentas para burlar o sistema de autenticação, mas não eram capazes de desligar e silenciar as notificações de transações. Antes disso, o pesquisador de segurança Harry Denley descobriu uma campanha de phishing que induzia ao download de uma extensão maliciosa do Chrome, programada para se apossar das chaves privadas dos usuários.

No momento, recomenda-se que os usuários de Android permaneçam em alerta, desinstalem quaisquer aplicativos suspeitos e mudem suas senhas. É importante notar também que o app móvel oficial do BtcTurk, a plataforma imitada pelos ciberatacantes, está diretamente conectado ao serviço de compra e venda da empresa e só está disponível em território turco.

Fonte: The Next Web