تطبيقات تشفير وهمية تستخدم تقنية "التحقق بخطوتين" لتجاوز أذونات جوجل
اكتشف باحثو «إسيت» ESET تطبيقات تشفير وهمية "cryptocurrency" تستخدم تقنية لم يسبق لها مثيل لتجاوز عمليات "التحقق بخطوتين" (2FA) القائمة على الرسائل النصية القصيرة SMS، وللالتفاف حول قيود أذونات الرسائل النصية القصيرة من جوجل.
وقيدت جوجل استخدام أذونات الرسائل النصية القصيرة وسجل المكالمات في تطبيقات أندرويد في مارس 2019 لمنع التطبيقات المتطفلة من إساءة استخدامها لأغراض غير مشروعة.
والتطبيقات "BTCTurk Pro Beta" و"BtcTurk Pro Beta" و"BTCTURK PRO" تنتحل صفة تبادل العملة المشفرة cryptocurrency التركية BtcTurk وتقوم بعملية الخداع بهدف الحصول على بيانات اعتماد تسجيل الدخول إلى الخدمة.
وبدلًا من اعتراض الرسائل النصية القصيرة لتجاوز عملية الحماية من 2FA على حسابات المستخدمين ومعاملاتهم، تأخذ هذه التطبيقات الضارة "كلمة المرور المرة واحدة" (OTP) من الإشعارات التي تظهر على شاشة الجهاز المخترق، بالإضافة إلى قراءة إخطارات 2FA، وللتطبيقات القدرة أيضًا على منع تنبيه الضحايا من ملاحظة حدوث العمليات احتيالية، وتم تحميل جميع التطبيقات الثلاثة إلى جوجل بلاي في يونيو 2019 وتم إيقافها بسرعة بعد تنبيه شركة «إسيت».
وبعد تثبيت وإطلاق تطبيقات BtcTurk المزيفة، يطلبون إذنًا تحت مسمى "وصول الإشعار"، يمكن للتطبيقات بعد ذلك قراءة الإشعارات المعروضة بواسطة التطبيقات الأخرى المثبتة على الجهاز أو رفض هذه الإشعارات أو النقر فوق الأزرار التي تحتويها.
ووفقًا لتحليل «إسيت»، يستهدف المهاجمون من وراء هذه التطبيقات تحديدًا إشعارات الرسائل النصية القصيرة وتطبيقات البريد الإلكتروني.
وقال مؤلف البحث "لوكاس ستيفانكو"، والباحث لدى شركة «إسيت»: "أحد الآثار الإيجابية لقيود جوجل التي تمت من شهر مارس 2019 هو أن تطبيقات سرقة بيانات الاعتماد قد فقدت خيار إساءة استخدام هذه الأذونات لتجاوز آليات 2FA المستندة إلى الرسائل النصية القصيرة. وبالرغم من اكتشاف هذه التطبيقات المزيفة، إلا أننا نشاهد الآن أول برامج ضارة تتجنب تقييد أذونات الرسائل القصيرة ".
