Az elméletben a biztonságos beléptetést garantáló egyszer használatos jelszavakat is képesek voltak azok a kiberbűnözők megszerezni, akik normális alkalmazásnak álcázott kártékony appot töltöttek fel a Play Áruházba - jelentették az Eset biztonsági cég szakértői. A csalást ugyan gyorsan lefülelték, de az ügy így is figyelemre méltó és újabb példáját hozza annak, hogy milyen fontos a körültekintő felhasználói magatartás.

Két faktor sem elég

A kétfaktoros azonosítás elvben sok fejfájástól mentheti meg az embert, hiszen így a külső támadónak nem csak a normál jelszóhoz kell hozzáférnie, de a célpont telefonjához is, amire megérkezik üzenetben az egyszer használatos másik jelszó. Ezt azonban eddig is átjátszhatták a zavarosban halászók azzal, ha a telepített alkalmazásuk extra jogosultságokat (például az SMS-ek monitorozását) kaptak a felhasználótól.

Nyilván mindenki emlékszik még a hőskorra, amikor a legegyszerűbb zseblámpa-alkalmazás is csak akkor futott, ha a telefonkönyvünktől a képgalériánkig mindenhez hozzáférést adtunk. Ennek a vadnyugati időszaknak szerencsére már vége. Sőt néhány hónappal ezelőtt az SMS-ek és a híváslisták tekintetében különösen szigorú stopott hirdetett a fejlesztőknél a Google.

Ilyen előzmények mellett érdekes különösen a mostani eset. A felfedezett trükk azon alapult, hogy a kártékony kód egy török kriptovaluta-tőzsde alkalmazásának adta ki magát, és sikerrel fel is került a letölthető programok közé. Az elkövetők természetesen nem kértek (és így nem is kaptak) engedélyt a Google-től a hívásadatokhoz és SMS-ekhez való különleges hozzáféréshez. Azt megoldották máshogy.

A kétféle formában is felkerült alkalmazás első dolga volt, hogy az értesítésekhez kérjen hozzáférést a felhasználótól. Amennyiben ezt megkapta a szoftver, onnantól kezdve nem csak hozzáfért más alkalmazások üzeneteihez, de azokat kedvére el is rejthette.

Ezt követően a bepalizott áldozatnak már csak a tőzsde hamis beléptetési ablakában kellett megadnia az adatait ahhoz, hogy komolyabb bajba kerüljön. Ekkor ugyanis ő csak egy hibaüzenetet kapott, míg az elkövetők szerverére megérkeztek a könnyen pénzzé tehető információk.

A kártékony program ráadásul meglehetősen szofisztikáltan működött és a megjelenítendő üzenetek közül csak azokat cenzúrázta, amelyek gazdái számára fontosak voltak (SMS, levél, direkt üzenet stb.). Így az áldozat kevésbé fogott gyanút, hiszen mondjuk a Facebookkal vagy játékokkal kapcsolatos értesítések továbbra is felbukkantak a képernyőn. 

Öröm az ürömben

Bár a módszer meglehetősen friss és ötletes, szerencsére azért nem "golyóálló". Mivel az információt csak a felbukkanó értesítésekből tud kibányászni, így sok esetben azok nem, vagy csak részben mutatják a beléptetési kódot. Ez különösen így van a levélben érkező egyszeri beléptetési adatoknál, hiszen ilyenkor elég valószínűtlen, hogy a felugró rövid üzenet tartalmazza magát a karaktersort is.

A Google alkalmazásáruházában magát nagyjából öt napig illegető kártevőt végül június 12-én kapcsolták le. Ezen időszak alatt a hírek szerint kevesebb mint száz letöltést sikerült elérnie.