Un nuevo malware accede a SMS eludiendo permisos de Google

El doble factor de autenticación (2FA) es uno de los medios considerados más seguros para evitar que extraños accedan a nuestra información de acceso a las aplicaciones.

Sin embargo, hace muy pocos días la empresa ESET, líder en antivirus, encontró un nuevo malware capaz de evadir la barrera de seguridad que supone el tener doble factor de autenticación.

En marzo de este año, Google publicó una comunicación en su página para desarrolladores advirtiendo sobre la restricción para pedir a los usuarios de aplicaciones permiso de acceso a datos sensibles, como el acceso a los SMS o el registro de llamadas.

Uno de los efectos positivos que tuvieron estas restricciones impuestas por Google para las aplicaciones de Android, fue quitarle la posibilidad de hacer uso abusivo de estos permisos con el fin de eludir los mecanismos de doble factor de autenticación basados ​​en SMS a las apps que roban credenciales.

A pesar de todo esto, ESET encontró aplicaciones maliciosas que pueden tener acceso incluso a contraseñas de un solo uso en los mensajes de SMS que se envían como factor de doble autenticación y sin necesidad de requerir el permiso para acceder a estos mensajes.

Esta es la primera vez que se detecta una amenaza de este tipo, esta técnica también funciona para el robo de  contraseñas de un solo uso de algunos sistemas de 2FA que utilizan correo electrónico.

Las aplicaciones maliciosas

Con la finalidad de robar las credenciales de inicio de sesión del servicio, la aplicación maliciosa tomó la identidad de BTCTurk Pro Beta, una app de exchange de criptomonedas de origen turco y que solamente se encuentra disponible para usar en Turquía.

Esta app apareció en Google Play el día 7 de junio bajo el nombre de desarrollador “BTCTurk Pro Beta”, luego se encontró una segunda aplicación que se subió el 11 de junio de 2019 como BtcTurk Pro Beta pero bajo el nombre de desarrollador “BtSoft”. Aunque las dos aplicaciones son muy similares en apariencia, parecen ser producto de diferentes atacantes.

Después de que ambas aplicaciones fueran eliminadas de Google Play, los atacantes subieron una tercera con la misma funcionalidad, pero esta vez con el nombre BTCTURK PRO y usando el mismo icono, capturas de pantalla y nombre de desarrollador que en la anterior.

 

malware

La falsa app BtcTurk en Google Play – Imagen: welivesecurity.com

¿Qué técnica utiliza el malware para evadir el 2FA?

Vamos a ver cuál es la técnica que utilizan quienes crean estas aplicaciones para que estés prevenido y tomes tus medidas de seguridad antes de descargar una app.

La estrategia para robar datos

Una vez que la falsa aplicación está instalada solicita un permiso de «Acceso a las notificaciones», esto permite a la aplicación leer las notificaciones mostradas por otras aplicaciones, descartarlas o hacer clic en los botones que contienen.

 

malware

La falsa app solicita acceso a las notificaciones. Imagen welivesecutity.com

 

Se calcula que el 90% de los dispositivos Android podrían ser afectados por este malware debido a que ambas aplicaciones BtcTurk falsas requieren la versión de Android 5.0 o superior para ejecutarse y el permiso de acceso a las notificaciones se introdujo en Android a partir de la versión 4.3 (Jelly Bean).

Cuando el usuario le otorga el permiso a la aplicación, se muestra en pantalla un falso formulario de inicio de sesión que solicita las credenciales de acceso.

 

El falso formulario de inicio de sesión de la app maliciosa. Imagen welivesecurity.com

Después de haber completado el formulario, aparece un falso mensaje de error en turco, que traducido al español dice lo siguiente: «¡Upss! Debido al cambio realizado en el sistema de verificación de SMS somos temporalmente incapaces de reparar nuestra aplicación móvil. Después de los trabajos de mantenimiento, se le notificará a través de la aplicación. Gracias por su comprensión».

 

malware

Mensaje de error falso – Imagen: welivesecurity.com

 

En realidad, lo que ocurre, es que el sistema envía en segundo plano todos los datos ingresados por el usuario hacia el servidor del atacante.

La app cuenta con filtros para dirigirse solo a notificaciones de aplicaciones cuyos nombres contienen las palabras clave ” gm, yandex, mail, k9, Outlook, sms, mensajería”
Imagen: welivesecurity.com

Independientemente de la configuración que elija utilizar el usuario para mostrar u ocultar notificaciones en la pantalla, los atacantes pueden tener acceso al contenido de ellas, y según la información publicada por ESET «Los atacantes detrás de esta aplicación también pueden descartar notificaciones entrantes y configurar el modo de timbre del dispositivo en silencio, lo que puede evitar que las víctimas noten transacciones fraudulentas.»

También se encontró otra aplicación maliciosa que se ocultaba bajo el nombre de otro exchange de criptomoneda turco llamado Koineks y que utilizaba exactamente la misma técnica para evadir el 2FA de SMS y de correo electrónico, con la diferencia de que esta app no tenía la capacidad de descartar y silenciar notificaciones.

Aparentemente esta otra app fue creada por el mismo atacante.

 

malware

La falsa app Koineks en Google Play. Imagen: welivesecurity.com

Cómo protegerte del malware financiero

Si tienes la sospecha de que has sido víctima de algún ataque malware lo recomendable es que desinstales inmediatamente la aplicación, revises tus cuentas para corroborar si hay alguna actividad sospechosa y cambies todas tus contraseñas.

Los ataques usando malware de critptomoneda están aumentando cada vez más debido al creciente precio de las bitcoin.

Las medidas que puedes tomar para mantenerte a salvo del malware financiero para Android son estas:

  • Confiar solo en aplicaciones relacionadas con la criptomoneda o en otras aplicaciones financieras únicamente si están vinculadas desde el sitio web oficial del servicio.
  • Antes de ingresar tu información confidencial en un formulario en línea comprueba la seguridad y legitimidad del mismo.
  • Mantén su dispositivo siempre actualizado.
  • Usa una solución de seguridad móvil (antivirus) confiable para bloquear y eliminar amenazas como Android/FakeApp.KP
  • Trata de utilizar siempre generadores de contraseña de un solo uso (OTP) basados en software o hardware en lugar de SMS o correo electrónico.
  • Utiliza solo aplicaciones que consideres confiables, y permite el acceso a las notificaciones únicamente a aquellas que tengan una razón legítima para solicitarla.

También te puede interesar leer:

Evita el malware en tu móvil Android con estos consejos y trucos

Nuevo malware puede infectar tu celular Android, evítalo de este modo

Aprende a usar el detector de malware de Google Chrome

 

 

 

 

Comentarios

comentarios

Related Posts

Xhelper
xHelper, el troyano que amenaza a los celulares con Android
Malwarebytes Browser Guard protege tu navegador contra malware y virus
whatsapp
WhatsApp: detectan un malicioso GIF que roba información
¿Tienes algunas de estas apps de fotos? Eliminalas, tienen un malware
Google Play
Google Play fue atacada por “El Joker”, un peligroso virus
Seguridad avanzada de Google
La protección avanzada de Google evita que descargues malware