Bratislava, le 18 juin 2019 – Des chercheurs d’ ESET ont découvert de fausses applications de crypto-monnaie utilisant une technique inédite pour contourner une authentification à deux facteurs (2FA) basée sur SMS, qui contourne les récentes restrictions émises par Google. En mars dernier, Google a restreint l’utilisation des autorisation SMS et du journal des appels dans les applications Android, afin d’empêcher les applications intrusives d’en abuser à des fins illicites.

Les applications “BTCTurk Pro Beta,” “BtcTurk Pro Beta” et “BTCTURK PRO” usurpent l'identité de l’application d'échange de la crypto-monnaie turque BtcTurk et hameçonnent des identifiants de connexion au service. Au lieu d’intercepter des messages SMS pour contourner la protection 2FA sur les comptes et les transactions des utilisateurs, ces applications malveillantes prennent le mot de passe à usage unique (OTP) des notifications qui apparaissent sur l’écran de l’appareil compromis. En plus de la lecture des notifications 2FA, les applications peuvent aussi les supprimer afin d’empêcher les victimes de remarquer des transactions frauduleuses. Les trois applications ont été téléchargés en Juin sur Google Play et ont rapidement été retirées suite à la notification faite par ESET.

Une fois installées et lancées, les fausses applications BtcTurk demandent une autorisation nommée Notification access. Les applications peuvent alors lire les notifications affichées par d'autres applications installées sur l'appareil, ignorer celles-ci ou cliquer sur les boutons qu’elles contiennent. Selon l’analyse d’EST, les attaquants ciblent spécifiquement les notifications émises à partir d'applications SMS et de messagerie.

« Un des effets positifs des restrictions émises par Google depuis mars 2019 a été que ces applications, qui volet les informations d’identification, ont perdu la possibilité d’abuser de ces autorisations pour contourner les mécanismes 2FA basés sur SMS. Pourtant, grâce la découverte de ces fausses applications, nous venons de découvrir le premier malware qui contourne cette restriction d'autorisations SMS, » explique Lukáš Štefanko, chercheur chez ESET, auteur de cette étude.

L’autorisation Notification access a été introduite avec la version 4.3 de Jelly Bean d’Android, ce qui veut dire en pratique que tous les appareils actifs sous Android sont sensibles à cette nouvelle technique. Cette fausse application BtcTurk requière la version Android 5.0 (KitKat) et plus, et peut donc affecter environ 90% des appareils Android.

En ce qui concerne son efficacité à contourner la 2FA, cette technique spécifique à cependant des limites – les attaquants ne peuvent accéder aux textes qui correspondent au champ de texte de la notification et il n’est donc pas garanti que ce texte contienne l’OTP. Dans les SMS EFA, les messages sont généralement courts et les OTP peuvent très bien tenir dans le message de notification. Cependant, dans un mail 2FA, la longueur du message et son format sont bien plus variés, ce qui peut avoir un impact sur les données accessibles.

Pour plus de détails, l’étude de Lukáš Štefanko peut être consultée sur “Malware sidesteps Google permissions policy with new 2FA bypass technique,” et “WeLiveSecurity.com.”