'BTCTurk Pro Beta', 'BtcTurk Pro Beta' en 'BTCTURK PRO': dat zijn de drie namen van de valse cryptocurrency-apps die onderzoekers van securiotybedrijf ESET deze maand ontdekten. De namen verwijzen naar het legitieme Turkse cryptocurrency-platform BtcTurk. De apps proberen ook uitdrukkelijk inloggegevens van BtwTurk-klanten te pakken te krijgen, om vervolgens de cryptomunten te stelen. De drie apps werden deze maand naar Google Play geüpload. Meteen na de verwittiging van ESET verwijderde Google de apps uit de winkel.

Omzeiling van beperking

Opmerkelijk is dat de apps een tot dusver ongeziene manier aan boord hadden om de tweestapsverificatie (two-factor authentication, kortweg F2A) op te vangen. De apps slaagden er in om het eenmalig wachtwoord (het one-time password, kortweg OTP) uit te lezen die BtcTurk genereert en die op het scherm van het gecompromitteerde toestel verschijnt. Zo konden ze inloggegevens bemachtigen en frauduleuze verrichtingen uitvoeren, zelfs met een ingeschakelde F2A-beveiliging.

Maar Google beperkte in maart toch nog het gebruik van SMS- en oproepmachtigingen in Android-apps, net om onwettelijke acties te voorkomen? "Een van de positieve gevolgen van Google's restricties uit maart 2019 is dat toepassingen die identificatiegegevens stelen, de mogelijkheid hebben verloren om meldingen te misbruiken en zo de SMS-gebaseerde 2FA-mechanismen te omzeilen. Maar met de ontdekking van deze valse apps hebben we nu wel de eerste malware gezien die de beperking van de SMS-toestemming weet te omzeilen," aldus ESET-onderzoeker Lukᨠ¦tefanko.

De toestemming werd geïntroduceerd in Android's Jelly Bean versie 4.3, waardoor nagenoeg alle Android toestellen gevoelig zijn voor deze nieuwe techniek. De valse BtcTurk apps draaien op Android versie 5.0 (KitKat) en hoger. Ze kunnen dus ongeveer 90% van de Android toestellen beïnvloeden.

Wat de efficiëntie in het omzeilen van de 2FA betreft, heeft deze specifieke techniek gelukkig toch zijn beperkingen. Aanvallers hebben slechts toegang tot de tekst die in het tekstveld van de melding past en het is niet zeker dat het eenmalig wachtwoord in die tekst zit. De vondst illustreert wel nogmaals dat aanvallers vindingrijk blijven in het omzeilen van extra beveiligingen en beperkingen.