安全业者ESET近日揭露了两款Android恶意程序,可藉由取得"通知存取"(Notification access)权限来窥探装置上所收到的通知,包括一次性密码(One-time password,OTP)在内。
ESET表示,自从Googe在今年1月限制了Android程序存取简讯(SMS)与通话纪录(Call Log)权限的能力之后,那些专门窃取凭证的恶意程序就更难滥用这些权限来绕过基于简讯的双因素认证(two-factor authentication,2FA)机制了。
不过,最近发现了两款伪装成土耳其加密货币交易平台BtcTurk的Android程序,却是藉由通知存取权限来绕过基于简讯的2FA机制。
这两款程序分别是BTCTurk Pro Beta与BtcTurk Pro Beta,名称非常相近,只有大小写的不同,且所使用的手法类似,但却是由不同的开发人员所打造。
在安装了BTCTurk Pro Beta之后,它会先向使用者取得通知存取的权限,该权限允许行动程序读取手机上所跳出的通知,包括来自其它程序的通知,还能关闭通知,或是点选通知上的按键。
Google是自Android 4.3(Jelly Bean)开始提供通知存取权限,因此大约有9成的Android装置都支持该权限。
一旦使用者许可了该权限,随之便会出现要使用者输入BtcTurk凭证的假登入視窗,但在使用者输入之后,它便推说暂时无法提供服务,但事实上却已经将使用者的凭证传送到骇客的服务器上。
再来该程序就会把手机屏幕上出现的通知都传送到自己的服务器上,包括利用简讯或电子邮件传送的OTP在内,由于它还可以关闭通知,或是将通知设为静音,得以避免使用者察觉诈骗交易。
ESET是在今年6月才发现这两款恶意程序,也在它们各自的安装数量都不到50的时候,就通知Google并将它们移除,安全专家建议使用加密货币或金融程序时,最好再三确认它来自官方网站,以软体或硬件的OTP产生器,来取代以简讯及邮件来传送OTP,也不要随意允许程序取得通知存取权限。
资料来源:iThome Security
