‘Neppe cryptovaluta-apps omzeilen tweestapsverificatie op Android’

Onderzoekers van ESET hebben apps gevonden die zich voordoen als de Turkse cryptovalutabeurs BtcTurk, maar in werkelijkheid nieuwe technieken gebruiken om SMS-gebaseerde tweestapsverificatie (2FA) te omzeilen. Daardoor worden ook de recente SMS-machtegingsrestricties van Google omzeild.

Google besloot in maart dit jaar om het gebruik van SMS- en belhistoriemachtigingen in Android-apps te beperken, om zo te voorkomen dat malafide apps ze kunnen misbruiken voor illegale praktijken. De apps BTCTurk Pro Beta, BtcTurk Pro Beta en BTCTURK Pro weten deze beperkingen echter te omzeilen. De drie apps phishen naar inloggegevens voor de cryptovalutabeurs. Daarvoor halen ze de eenmalige code op uit de notificatiebalk waar de SMS met de code voor tweestapsverificatie verschijnt.

De apps kunnen niet alleen de notificaties van tweestapsverificatie lezen, maar ze ook negeren. Daardoor merken slachtoffers niet dat er frauduleuze transacties plaatsvinden. De drie apps verschenen in juni 2019 in de Google Play Store. Vlak nadat ESET melding maakte van de malafide apps en hun praktijken, werden ze weer uit de Play Store gehaald.

Notification access

De apps vragen na installatie om een machtiging genaamd Notification access. Als ze die machtiging krijgen, kunnen ze de getoonde notificaties van alle apps op het Android-apparaat lezen, negeren en bijbehorende acties uitvoeren. De onderzoekers van ESET stellen dat de aanvallers zich specifiek op notificaties van SMS- en mail-apps richten.

De machtiging voor Notification access verscheen voor het eerst in Jelly Bean 4.3 van Android. Apparaten die een oudere versie dan 4.3 bevatten, hebben de beveiligingsfunctie van Google niet. Deze apparaten zijn sowieso al kwetsbaar voor het lezen van notificaties. Android-apparaten met een nieuwere versie van het besturingssysteem zijn hier alleen kwetsbaar voor als ze toestemming krijgen om notificaties uit te lezen.

De apps die zich voordoen als BtcTurk zeggen Android versie 5.0 KitKat of hoger nodig te hebben om te werken. Volgens ESET heeft ongeveer 90 procent van alle Android-apparaten één van die versies van het besturingssysteem.