بدافزاری که با تکنیک جدیدش، سیاست های احراز هویت دو مرحله ای گوگل در را دور می زند

وقتی گوگل در مارس ۲۰۱۹، مجوز لاگ گیری از پیامک‌ها و تماس‌ها توسط برنامه‌های آندروید را لغو کرد، مثبت ترین تاثیر آن، ناتوانی برنامه‌های سرقت اطلاعاتی بود که با سوءاستفاده از این مجوز‌ها، مکانیزم احراز هویت دو مرحله‌ای با ارسال پیام کوتاه را دور می­ زدند.

ما برنامه‌های مخربی پیدا کردیم که قادرند بدون برخورداری از مجوز دسترسی به پیامک، به رمز یکبار مصرف ارسالی دسترسی یافته و سیاست جدید گوگل را دور بزنند. در این روش، رمز یکبار مصرف ارسالی به ایمیل‌ها هم قابل دسترسی است.

این برنامه خود را به جای برنامه تبادل پول مجازی BtcTurk جا زده و اطلاعات فرد را می‌­دزدد. این برنامه به جای سرقت پیامک دریافتی، آن را از اعلان قابل مشاهده در صفحه نمایش موبایل مورد نظر بر می‌­دارد. علاوه بر اینکه این برنامه اعلان پیام مورد نظر را می­ خواند، آن اعلان را حذف می‌­کند تا کاربر متوجه قضیه کلاهبرداری نشود.

این بدافزار که توسط برنامه آندروید محصول شرکت ESET به نام Android/fakeapp. kp شناسایی شد، اولین برنامه شناخته شده‌ای است که سیاست جدید گوگل را دور زده است.

برنامه‌های مخرب

اولین برنامه‌ای که تجزیه و تحلیل کردیم در ۷ ژوئن ۲۰۱۹ با نام BTCTrurk Pro Beta تحت نظارت توسعه دهنده‌ای به همین نام در گوگل پلی آپلود شد. قبل از اینکه تیم ESET بتواند این برنامه را به گوگل گزارش دهد بیش از ۵۰ بار دانلود شده بود. BTCturk یک برنامه مبادله ارز دیجیتالی است که تنها برای کاربران ترکیه‌ای قابل دانلود است، علاوه بر این، برنامه رسمی آن در وب سایت آن سازمان لینک شده است.

برنامه دوم در تاریخ ۱۱ ژوئن با نام BtcTurk Pro Beta تحت نظارت توسعه دهنده‌ای با نام BtSoft آپلود گردید. با اینکه هر دو برنامه از یک پوشش بسیار مشابه استفاده کرده‌اند، به نظر می­رسد کار دو هکر متفاوت باشند. ما توانستیم این برنامه را در ۱۲‌ام گزارش کنیم و این در حالی بود که برنامه کمتر از ۵۰ بار دانلود شده بود.

پس از اینکه برنامه دوم هم از گوگل پلی حذف شد، همان هکرها برنامه دیگری با همان کارکرد و با نام BTCTurk Pro و همان نام توسعه دهنده، با آیکون‌ها و محیط مشابه، آپلود کردند. این برنامه در ۱۳‌ام گزارش شد.

عکس زیر نشان دهنده دو برنامه فوق می­باشد:

جدید ترین روش دور زدن احراز هویت دو مرحله ای

بعد از نصب، هر دو برنامه از یک پروسه پیروی می ­کنند. به همین علت برای توضیح نحوه کار آنها از برنامه BTCTurk Pro Beta استفاده کرده ایم.

بعد از اجرای برنامه، مجوزی با نام دسترسی به اعلان ها از شما خواسته می­ شود (تصویر آن در زیر نمایش داده شده است). این مجوز به برنامه اجازه می­ دهد تا اعلان های نمایش داده شده توسط برنامه های دیگر را مشاهده کند و آنها را حذف کرده و هر دگمه ای که در اعلان ها وجود دارد را انتخاب کند.

مجوز دسترسی به اعلان ها برای اولین بار در آندروید ۴.۳(Jellybean) معرفی گردید و این یعنی تقریبا تمامی دستگاه های فعال آندروید آن را شناخته و به آن اجازه فعالیت می­ دهند. هر دو برنامه جعلی BtcTurk نیاز به آندروید نسخه پنج به بالا دارند  و این یعنی تقریبا نود درصد گوشی های همراه هدف این حمله هستند.

پس از اینکه کاربر به برنامه مجوز دسترسی داد، فرم ورود به حساب جعلی نمایش داده شده و از کاربر اطلاعات ورود به حساب BtcTurk از او خواسته می ­شود.

بعد از اینکه اطلاعات وارد شد، پیام خطای جعلی به زبان ترکی نمایش داده می ­شود. ترجمه این پیام به این شرح است: به دلیل تغییرات ایجاد شده در سیستم تایید پیامک، فعلا از ارائه خدمات به برنامه موبایلمان معذوریم، پس از انجام تعمیرات، از طریق برنامه به شما اطلاع رسانی خواهد شد. از همکاری شما قدر دانی می­ کنیم.

اما در پشت پرده، اطلاعات وارد شده به سرور هکر ارسال می­ شود.

با توجه به مجوز دسترسی به اعلان ها، برنامه قادر است پیامک ها و تماس های ارسالی شما را مشاهده کند. در این برنامه از فیلتر هایی استفاده شده تا تنها اعلان های خاصی که دارای کلمات GM، yandex، mail، sms و  Messaging می­ باشند، را هدف قرار دهد.

مضمون تمامی پیام های دریافتی از برنامه های یاد شده به سرور هکر ارسال می­ شود. این مضمون بی قید و شرط به مهاجم ارسال می ­شود و تنظیمات مربوط به نمایش اعلان به هنگام قفل صفحه هیچ تاثیری در این فرآیند ندارد. در این حالت هکر می ­تواند گوشی قربانی را بی صدا کند تا او متوجه چیزی نشود و تمامی اعلان ها را از لیست وی حذف کند.

در مورد تاثیر گذاری و موفقیت این حمله باید گفت که هکر تنها می ­تواند آن مقداری از پیام که در اعلان نمایش داده می­ شود مشاهده کند که ممکن است کد ارسالی در آن قسمت قرار نداشته باشد. فیلتر های یاد شده نشان می ­دهد که هدف مهاجم پیامک و ایمیل های دریافتی است. معمولا پیامک های احراز هویت کوتاه تر هستند و احتمال قرار گرفتن رمز یکبار مصرف در اعلان بیشتر است. اما ایمیل ها معمولا پیچیده تر بوده و انواع مختلفی دارند، از این رو احتمال دستیابی به رمز یکبار مصرف در آن کمتر است.

تکنیکی که به سرعت در حال تحول است

در هفته های پیش با برنامه ای به نام Koineks که بازهم به عنوان یک برنامه جعلی مبادله ارز دیجیتالی ترکی معرفی شده بود مواجه شدیم. بسیار شگفت انگیز بود که این برنامه از همان روش های دور زدن احراز هویت استفاده می­ کرد اما قابلیت بی صدا کردن گوشی و حذف اعلان ها را نداشت.

بر اساس تحلیل های به عمل آمده این برنامه هم توسط همان هکر طراحی شده و این یعنی مهاجمان در حال توسعه این تکنیک برای دستیابی به بهترین روش دستیابی به پیامک ها می ­باشند.

چاره چیست؟

در صورتی که احتمال می ­دهید برنامه های مخربی از این دست نصب کرده و استفاده کرده اید، بلافاصله آن را پاک کنید. حساب های خود را برای مشاهده هر گونه فعالیت مشکوکی بررسی کرده و رمز های خود را تغییر دهید.

با توجه به افزایش قیمت ارز های دیجیتالی به ویژه Bitcoin، شاهد موج جدیدی از بدافزار های ارز دیجیتالی در گوگل پلی خواهیم بود. نتایج اخیر حاکی از آن است که هکرها در حال توسعه روش های جدیدی برای دور زدن قوانین امنیتی گوگل و افزایش شانس موفقیت خود هستند.

برای حفظ امنیت در برابر این روش و دیگر روش ها در گوشی های آندروید می ­توانید:

• تنها به برنامه های مبادله ارز دیجیتالی که به وب سایت مربوطه لینک شده باشند، اعتماد کنید.
• تنها در صورتی که از صحت و امنیت فرم های آنلاین اطمینان داشتید اطلاعات خود را در آن وارد کنید.
• دستگاهتان را همیشه آپدیت کنید.
• از یک برنامه امنیتی مطمئن استفاده کنید تا تهدیدات را تشخیص داده و با آنها مقابله کند، Eset تحت عنوان Android/fakeapp.kp این امکان را برای شما فراهم کرده است.
• در صورت امکان به جای استفاده از ایمیل یا پیامک، از رمز های یکبار مصرف مبتنی بر سخت افزار یا نرم افزار استفاده کنید.
• حتما از برنامه های مطمئن استفاده کنید و همیشه به یاد داشته باشید که اجازه دسترسی به اعلان ها را به برنامه ای بدهید که برای درخواست آن دلیل قانع کننده ای داشته باشند.

پشتیبانی فنی رایگان

نظرات

نظر (به‌وسیله فیس‌بوک)