Компанія ESET виявила шкідливе ПЗ для Android, здатне обходити механізм двофакторної аутентифікації без доступу до SMS-повідомлень.

Шкідливе ПЗ поширюється під виглядом додатків турецької криптовалютної біржі BtcTurk і призначене для викрадення облікових даних користувачів BtcTurk. Замість того щоб перехоплювати SMS-повідомлення з одноразовим паролем для двофакторної аутентифікації, шкідливі програми отримують його з повідомлень, що відображаються на екрані пристрою. Шкідник не тільки читає вхідні повідомлення, але і приховує їх для того, щоб користувач так і не дізнався про несанкціоновані транзакції.

Шкідник, який продукти ESET визначають як Android/FakeApp.KP є першим, здатним обходити обмеження для додатків з використання SMS і журналів дзвінків, доданих в Android в березні нинішнього року.

Після встановлення на пристрій додаток запитує дозвіл на доступ до повідомлень. Після того, як користувач дав дозвіл, шкідник відображає підроблену форму авторизації криптовалютної біржі BtcTurk. Отримавши потрібну інформацію, додаток відображає повідомлення про помилку, а в цей час викрадені облікові дані відправляються на підконтрольний зловмисникам сервер.

На віддалений сервер також відправляється вміст всіх прочитаних шкідливий повідомлень (в тому числі одноразові паролі), незалежно від того, чи дозволив користувач в налаштуваннях відображати повідомлення на екрані блокування.

Вперше шкідливий додаток під назвою BTCTurk Pro Beta було завантажено в Google Play 7 червня розробником BTCTurk Pro Beta. Поки Google не видалила його, додаток встигли завантажити понад 50 користувачів.

11 червня додаток з тією ж назвою знову було завантажено в магазин, але розробником вже значився BtSoft. Хоча обидві програми використовують одну і ту ж маску, їх авторами є різні розробники, вважають в ESET. Google видалила другий додаток 12 червня, але на наступний день в магазині з’явилося третє, на цей раз під назвою BTCTURK PRO.

До речі, додатки для Android з критично небезпечними уразливостями зустрічаються дещо частіше, ніж програми для iOS (43% проти 38%). Однак ця різниця несуттєва, вважають експерти, і загальний рівень захищеності клієнтських частин мобільних додатків для обох платформ приблизно однаковий.

Нагадаємо, в офіційному магазині додатків для Windows фахівці виявили безліч платних додатків, які насправді є продуктами з відкритим вихідним кодом, які можна поширювати тільки безкоштовно.

Також дослідники попереджають про реєстрацію реальних атак з експлуатації уразливості нульового дня у браузері Mozilla Firefox. Користувачі повинні якомога швидше оновитися до версії 67.0.3 або 60.7.1.

Окрім цього, Microsoft випустила оновлення прошивки Intel для всіх підтримуваних версій Windows 10, які захищають від атак, що експлуатують уразливості Microarchitectural Data Sampling (MDS).