ESET披露可竊取Android手機一次性密碼的惡意程序

安全企業ESET近日披露了兩款Android惡意程序，可藉由取得「通知訪問」（Notification access）許可權來窺探設備上所收到的通知，包括一次性密碼（One-time password，OTP）在內。

ESET表示，自從Googe在今年1月限制了Android程序訪問簡訊（SMS）與通話紀錄（Call Log）許可權的能力之後，那些專門竊取憑證的惡意程序就更難濫用這些許可權來繞過基於簡訊的雙因素認證（two-factor authentication，2FA）機制了。

不過，最近發現了兩款偽裝成土耳其加密貨幣交易平台BtcTurk的Android程序，卻是藉由通知訪問許可權來繞過基於簡訊的2FA機制。

這兩款程序分別是BTCTurk Pro Beta與BtcTurk Pro Beta，名稱非常相近，只有大小寫的不同，且所使用的手法類似，但卻是由不同的開發人員所打造。

在安裝了BTCTurk Pro Beta之後，它會先向用戶取得通知訪問的許可權，該許可權允許移動程序讀取手機上所跳出的通知，包括來自其它程序的通知，還能關閉通知，或是點擊通知上的按鈕。

Google是自Android 4.3（Jelly Bean）開始提供通知訪問許可權，因此大約有9成的Android設備都支持該許可權。

一旦用戶許可了該許可權，隨之便會出現要用戶輸入BtcTurk憑證的假登錄窗口，但在用戶輸入之後，它便推說暫時無法提供服務，但事實上卻已經將用戶的憑證發送到黑客的伺服器上。

再來該程序就會手柄機屏幕上出現的通知都發送到自己的伺服器上，包括利用簡訊或電子郵件發送的OTP在內，由於它還可以關閉通知，或是將通知設為靜音，得以避免用戶發現詐騙交易。

ESET是在今年6月才發現這兩款惡意程序，也在它們各自的安裝數量都不到50的時候，就通知Google並將它們移除，安全專家建議使用加密貨幣或金融程序時，最好再三確認它來自官方網站，以軟體或硬體的OTP產生器，來取代以簡訊及郵件來發送OTP，也不要隨意允許程序取得通知訪問許可權。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！