Útočníci kradli obsah notifikácií. Obišli tým sprísnené pravidlá Googlu

SMS a e-mail stále patria medzi najpoužívanejšie cesty na získavanie jednorazových kódov, ktoré chránia online účty používateľov dodatočnou autentifikáciou. Táto forma zabezpečenia však nie je stopercentná a útočníci už viackrát našli možnosti, ako sa prepracovať aj k tejto informácii.

Podmienky im v marci 2019 sťažil Google, keď zakázal androidovým aplikáciám pri inštalácii žiadať prístup k SMS správam a zoznamu hovorov. Môžu tak urobiť len v prípade, že ide o ich primárnu funkciu, prípadne o výnimku, ktorú posudzuje sám online gigant. Útočníkom šíriacim aplikácie, ktorých cieľom je dostať sa do účtov obetí a vyplieniť ich, to urobilo škrt cez rozpočet – bez prístupu k SMS správam prišli o efektívnu metódu kradnutia spomínaných jednorazových kódov, často kľúčových pri vykonaní transakcie.  

Necelé tri mesiace po zavedení nových pravidiel však analytik ESETu Lukáš Štefanko objavil v obchode Google Play viaceré aplikácie, ktoré dokázali obísť tieto obmedzenia. BTCTurk Pro Beta, BtcTurk Pro Beta a BTCTURK PRO sa vydávali za oficiálne aplikácie legitímnej tureckej kryptoburzy BtcTurk, v skutočnosti však zbierali prihlasovacie údaje obetí a dokázali získať aj ich autentifikačné kódy.

Na rozdiel od svojich predchodcov však tieto škodlivé aplikácie nezbierali jednorazové kódy z SMS správ, ale z notifikácií zobrazených na infikovanom zariadení. Všetky tri aplikácie experti ESETu nahlásili a Google ich z obchodu odstránil.

Ako prebieha útok

Po načítaní si aplikácia od používateľa vyžiada prístup k notifikáciám (Notification access). Ak mu obeť práva udelí, môžu útočníci čítať, odstrániť či klikať na zobrazené notifikácie. Sústredia sa pritom na upozornenia z SMS a e-mailových aplikácií. Útočníci tiež majú možnosť vypnúť zvonenie na zariadení, čím výrazne obmedzia šancu, že si obeť ich aktivitu všimne.

Iba prístup k notifikáciám však nestačí na vykradnutie účtov obetí – útočníci potrebujú získať aj prihlasovacie údaje do napodobňovanej legitímnej služby. Po udelení prístupu k notifikáciám aplikácia preto zobrazí falošnú prihlasovaciu obrazovku pripomínajúcu BtcTurk, cez ktorú sa snaží od obete vylákať jej prihlasovacie meno a heslo do rovnomennej legitímnej služby.

Po zadaní údajov sa však objaví oznámenie o chybe v turečtine, ktoré v preklade znamená: „Ops! Z dôvodu zmien v našom SMS verifikačnom systéme je mobilná aplikácia dočasne bez podpory. Po ukončení údržby vás upozorníme prostredníctvom aplikácie. Ďakujeme za pochopenie.“

Všetky zozbierané prihlasovacie informácie, ako aj kódy z notifikácií si útočníci, samozrejme, v pozadí posielajú na vlastný server.

Zaujímavé je, že útočníkom sa podarilo do Google Play viackrát pridať tú istú aplikáciu s identickými screenshotmi a len mierne pozmeneným menom. To všetko navyše robili z rovnakého developerského účtu s názvom BtSoft.

Čo sa týka úspešnosti v obchádzaní druhého faktora, táto nová technika má predsa len svoje obmedzenia. Nie všetky notifikácie totiž obsahujú autentifikačný kód na začiatku správy, takže nemusí byť vždy viditeľný na obrazovke.

Príkladom sú SMS správy od bánk, kde je jednorazový kód až v piatom či šiestom riadku. Útočník, ktorý nemá prístup k úplnému zneniu správy, tak nemá možnosť si ho prečítať. Podobné obmedzenie nastáva aj pri e-mailových správach, ktoré sú obvykle dlhšie a v notifikácií sa kľúčový údaj nemusí objaviť.

Ako sa brániť?

Analýza viacerých podobných útokov ukazuje, že útočníci si dokážu aj napriek zmenám nájsť nové a nové cesty k autentifikačným kódom obetí. Je preto dôležité, aby používatelia tieto techniky poznali a dokázali sa podobným útokom vyhnúť.

V prípade aplikácií spojených s kryptomenami buďte mimoriadne opatrní a dôverujte len tým, ktoré sú uvedené priamo na oficiálnych webových stránkach danej kryptoburzy či kryptoslužby. To isté, samozrejme, platí pre bankové a iné finančné aplikácie. Takisto udržujte svoje zariadenie s Androidom aktualizované a chránené spoľahlivým bezpečnostným riešením, ktoré dokáže podobné hrozby odhaliť.

Ak je to možné, vyberte si namiesto SMS správ či e-mailov s jednorazovým kódom softvérové autentifikačné služby alebo hardvérové tokeny. Zvýšte opatrnosť najmä v prípade, že od vás aplikácia žiada prístup k notifikáciám, a povoľte ho len tam, kde je to naozaj nevyhnutné a dobre odvôvodnené.