Novo malware de phishing em Android tenta se passar por exchange cripto turca, diz relatório
Novo malware de Android dribla restrições de permissão de SMS do Google para se apossar de códigos de autenticação de dois fatores recebidos por mensagem.
A empresa de cibersegurança por trás do conhecido software antivirus NOD32, a ESET, noticiou em 17 de junho que identificou um novo malware de Android que usa restrições de permissão de SMS da Google para acessar códigos da autenticação de dois fatores (2FA) recebidos via SMS.
Segundo o relatório, alguns apps maliciosos são capazes de acessar passwords de uso único enviados aos usuários via SMS, driblando as restrições recentemente implementadas pela Google. Além disso, a mesma técnica também permitiria o acesso de códigos em e-mails.
De acordo com o autor do relatório, os apps em questão tentam se passar pela exchange turca BtcTurk e se apossar de dados de login do serviço. O malware, “em vez de interceptar mensagens de SMS para contornar a proteção 2FA nas contas e transações dos usuários, esses aplicativos maliciosos tiram a OTP das notificações que aparecem na tela do dispositivo comprometido”. O aplicativo também toma medidas para impedir que o usuário perceba o ataque em andamento:
“Além de ler as notificações 2FA, os apps também ocultam-nas das vítimas para que elas não percebam as transações fraudulentas em andamento.”
O primeiro app teria aparecido na Play Store do Google em 7 de junho, sob o nome BTCTurk Pro Beta, da conta da desenvolvedora BTCTurk Pro Beta, e foi instalado por 50 usuários antes da ESET fazer o alerta ao Google. Depois disso, outras duas versões do app foram disponibilizadas e depois removidas da loja.
Como o Cointelegraph noticiou no começo do mês, a exchange peer-to-peer (P2P) BitMEX sofreu um fluxo de ataques em credenciais de contas de usuários. Em uma mensagem aos clientes, a exchange ressaltou a importância de suas medidas de segurança de propriedade.
Também em junho, pesquisadores de cibersegurança descobriram um website falso espalhando Trojan em nome do portal Cryptohopper, um site onde os usuários podem programar ferramentas para negociação automatizada de criptografia.