安全企业ESET近日披露了两款Android恶意程序,可借由取得“通知访问”(Notification access)权限来窥探设备上所收到的通知,包括一次性密码(One-time password,OTP)在内。
ESET表示,自从Googe在今年1月限制了Android程序访问短信(SMS)与通话纪录(Call Log)权限的能力之后,那些专门窃取凭证的恶意程序就更难滥用这些权限来绕过基于短信的双因素认证(two-factor authentication,2FA)机制了。
不过,最近发现了两款伪装成土耳其加密货币交易平台BtcTurk的Android程序,却是借由通知访问权限来绕过基于短信的2FA机制。
这两款程序分别是BTCTurk Pro Beta与BtcTurk Pro Beta,名称非常相近,只有大小写的不同,且所使用的手法类似,但却是由不同的开发人员所打造。
在安装了BTCTurk Pro Beta之后,它会先向用户取得通知访问的权限,该权限允许移动程序读取手机上所跳出的通知,包括来自其它程序的通知,还能关闭通知,或是点击通知上的按钮。
Google是自Android 4.3(Jelly Bean)开始提供通知访问权限,因此大约有9成的Android设备都支持该权限。
一旦用户许可了该权限,随之便会出现要用户输入BtcTurk凭证的假登录窗口,但在用户输入之后,它便推说暂时无法提供服务,但事实上却已经将用户的凭证发送到黑客的服务器上。
再来该程序就会手柄机屏幕上出现的通知都发送到自己的服务器上,包括利用短信或电子邮件发送的OTP在内,由于它还可以关闭通知,或是将通知设为静音,得以避免用户发现诈骗交易。
ESET是在今年6月才发现这两款恶意程序,也在它们各自的安装数量都不到50的时候,就通知Google并将它们移除,安全专家建议使用加密货币或金融程序时,最好再三确认它来自官方网站,以软件或硬件的OTP产生器,来取代以短信及邮件来发送OTP,也不要随意允许程序取得通知访问权限。