Authentification 2FA : quand une faille Android permet de récupérer les codes secrets envoyés par SMS !

Le groupe sécuritaire ESET vient de mettre en lumière un malware sous Android qui permettrait à un individu malveillant de détourner les codes secrets issus de la double-authentification et envoyés sous forme de notifications.

 

 

Dans un billet détaillé du 17 Juin dernier, s'il est rappelé, à titre de préambule, que Google avait tenté de juguler la chose en coupant-courts aux applications qui demandaient, sans motif légitime véritable, un accès (permission) via SMS, il semblerait que certains cyber-attaquants aient réussit à contourner l'obstacle en interceptant les notifications dans ce domaine.

Baptisé FakeApp.KP, le malware résidait dans BTCTurk Pro Beta", une application - Turque - pour la gestion, consultation et transfert de crypto-monnaies. Si l'application, après signalement (et "moins de 50 utilisateurs" potentiellement infectés), avait été retiré, l'équipe sécuritaire avait observé une réminiscence sur le Google Play via BTCTURK PRO, avec les mêmes attributs (descriptif, photo, nom...) ; une application, également, signalée, depuis le 13 Juin dernier.

Si installation il y avait, après ouverture de l'application vérolée, cette dernière demandait un accès (permission) aux notifications ; De là commençait l'infection du système mobile (Android 5.0 et versions supérieures...) en proposant un faux site de connexion pour se connecter pour ensuite afficher un message d'erreur (les login entre-temps étant récupérés côté serveur "malveillant"). Btsoft, elipticsoft ou encore koinks sont, aussi, pointés sécuritairement du doigt.

Il est rappelé qu'il ne faut pas accorder des permissions / accès à n'importe quelle application : en d'autres termes, il faut lire ce que chaque application requiert et si cela vous semble douteux ou illégitime, n'installez pas l'application ! Enfin, toujours vérifier que les applications du store sont certifiées ou approuvées (coche) et, si ce n'est pas le cas, qu'elles sont de notoriété connues ou qu'elles ont une bonne e-réputation... A veiller !

 

Source : ESAT - 17 Juin 2019 - Malware FaceApp.KP sous Android : vulnérabilité notification codes secrets 2FA.