Investigadores de ESET recientemente han descubierto apps maliciosas capaces de acceder a contraseñas de un solo uso (OTP, por sus siglas en inglés) en mensajes SMS de doble factor de autenticación (2FA), sin utilizar permisos de SMS, evadiendo así las recientes restricciones de Google.
Esta técnica, por si fuera poco, también funcionaría para obtener contraseñas de un solo uso de algunos sistemas de 2FA basados en el correo electrónico, de acuerdo a lo informado mediante una entrada de blog.
“Cuando en marzo de 2019 Google restringió el uso de permisos de SMS y registro de llamadas en aplicaciones de Android, uno de los efectos positivos fue que las aplicaciones que roban credenciales perdieron la opción de abusar de estos permisos para eludir los mecanismos de doble factor de autenticación basados en SMS”.
A pesar de eso, las aplicaciones se hacen pasar por el exchange de criptomonedas turco BtcTurk, a la espera de robar las credenciales de inicio de sesión del servicio.
Estas aplicaciones maliciosas, en lugar de interceptar mensajes SMS para evadir la protección 2FA en las cuentas y transacciones de los usuarios, toman la contraseña de un solo uso de las notificaciones que aparecen en la pantalla del dispositivo comprometido.
Las aplicaciones también pueden descartarlas para evitar que las víctimas se den cuenta de transacciones fraudulentas, además de leer las notificaciones de 2FA. “El malware, que en todas sus formas es detectado por los productos de ESET como Android / FakeApp.KP, es el primero que se conoce con la capacidad de eludir las nuevas restricciones de permisos de SMS”.
Apps maliciosas analizadas
“BTCTurk Pro Beta” ha sido la primera de las apps maliciosas que se han analizado desde ESET. Se subió a Google Play el 7 de junio de 2019 bajo el nombre de desarrollador “BTCTurk Pro Beta”.
Se ha conocido que fue instalada por más de 50 usuarios antes de que ESET informara a los equipos de seguridad de Google. BtcTurk, según lo publicado, es un exchange de criptomonedas turco; su aplicación móvil oficial está enlazada desde su sitio web oficial y sólo está disponible para usuarios en Turquía.
“La segunda aplicación se subió el 11 de junio de 2019 como ‘BtcTurk Pro Beta’ bajo el nombre de desarrollador “BtSoft”. Aunque las dos aplicaciones tienen una apariencia muy similar, parecen ser el trabajo de diferentes atacantes. Informamos sobre esta aplicación el 12 de junio de 2019, cuando fue instalada por menos de 50 usuarios”.
Los mismos atacantes, después de que se eliminó esta segunda aplicación, cargaron otra app con funcionalidad idéntica pero, esta vez, denominada “BTCTURK PRO” y usando el mismo nombre de desarrollador, ícono y capturas de pantalla. ESET informó el 13 de junio de 2019 sobre esta aplicación.
Las dos apps maliciosas, después de la instalación, siguen un procedimiento similar. Una vez iniciada, la aplicación solicita un permiso denominado “Acceso a las notificaciones” (Notification acces).
Este permiso permite que la aplicación lea las notificaciones mostradas por otras aplicaciones instaladas en el dispositivo, descarte esas notificaciones o haga clic en los botones que contienen, según lo publicado.
Además, se ha señalado que el permiso de Acceso a las notificaciones se introdujo en la versión 4.3 de Android, lo que significa que casi todos los dispositivos Android activos son susceptibles a esta nueva técnica.
“Ambas aplicaciones BtcTurk falsas requieren la versión de Android 5.0 (KitKat) o superior para ejecutarse, por lo que podrían afectar alrededor del 90% de los dispositivos Android”.
La app, una vez que el usuario otorga este permiso, muestra un formulario de inicio de sesión falso que solicita credenciales para BtcTurk. Luego de ingresar las credenciales se muestra un falso mensaje de error en turco.
La traducción al español es: “¡Upss! Debido al cambio realizado en el sistema de verificación de SMS somos temporalmente incapaces de reparar nuestra aplicación móvil. Después de los trabajos de mantenimiento, se le notificará a través de la aplicación. Gracias por su comprensión”. Las credenciales ingresadas son enviadas al servidor del atacante en segundo plano.
La aplicación maliciosa, gracias al permiso de Acceso a las notificaciones, es capaz de leer las notificaciones provenientes de otras aplicaciones, incluidas las aplicaciones de SMS y correo electrónico.
También cuenta con filtros para dirigirse sólo a notificaciones de aplicaciones cuyos nombres contienen las palabras claves como “gm, yandex, mail, k9, Outlook, sms, mensajería”.
Ese contenido es enviado al servidor del atacante donde pueden acceder a los datos, independientemente de la configuración que utilice la víctima para mostrar notificaciones en la pantalla de bloqueo.
“Los atacantes detrás de esta aplicación también pueden descartar notificaciones entrantes y configurar el modo de timbre del dispositivo en silencio, lo que puede evitar que las víctimas noten transacciones fraudulentas”.
Efectividad del 2FA
La técnica, en cuanto a la efectividad a la hora de evadir el 2FA, tiene sus limitaciones. Según la entrada de blog de ESET, los atacantes sólo pueden acceder al texto que se ajusta al campo de texto de la notificación y, por lo tanto, no está garantizado que incluya la contraseña de un solo uso.
“Los nombres de las aplicaciones apuntadas nos muestran que tanto el 2FA basado en SMS, como el de correo electrónico, es de interés para los operadores detrás de este malware. En el 2FA a través de SMS, los mensajes son generalmente cortos y es probable que las contraseñas de un solo uso encajen en el mensaje de notificación”.
En el caso del 2FA a través del correo electrónico, sin embargo, la longitud y el formato de los mensajes son mucho más variados, lo que podría afectar el acceso del atacante a la clave de un solo uso.
“Si sospecha que ha instalado y utilizado una de estas aplicaciones maliciosas, le recomendamos que la desinstale de inmediato. Revise sus cuentas para detectar actividades sospechosas y cambie sus contraseñas”, se ha exhortado desde ESET.