Angreifer verschaffen sich Zugriff auf SMS-basierte 2-Faktor-Authentifizierung
Jena – ESET Forscher haben gefälschte Kryptowährungs-Apps aus Google Play analysiert, die mit neuartigen Techniken Zugriff auf die SMS-basierte 2-Faktor-Authentifizierung (2FA) erhalten. Hierzu umgehen die Apps die von Google erst kürzlich aufgestellten Richtlinien für den Zugriff auf Telefonie- und SMS-Logs. Über einen Umweg erhalten die Apps Zugriff auf diese Daten: Dabei erschleichen sich die Programme die Berechtigung, Benachrichtigungen auf dem Gerätedisplay lesen zu dürfen. Eine eingehende SMS oder E-Mail mit einem Einmalpasswort ist so für die Angreifer einsehbar. Es besteht die Möglichkeit, dass Cyberkriminelle diese Methode zukünftig auch für Angriffe auf das Online-Banking und andere Dienste, die auf eine SMS-basierte 2FA setzen, ausnutzen.
«Die neuen Google-Regeln, dass Apps nicht mehr einfach so Zugriff auf die Telefonie- und SMS-Logs erhalten, war ein richtiger Schritt zum Schutz der SMS-basierten 2-Faktor-Authentifizierung», erklärt ESET Security Specialist Thomas Uhlemann. «Nun sehen wir den ersten Fall, wie Cyberkriminelle diese Richtlinie versuchen zu umgehen, um weiterhin an diese Informationen zu gelangen. Für Angriffe gegen das mTAN-Verfahren beim Online-Banking und ähnliche Arten der 2FA ist diese neuartige Technik geeignet.»
Angriffe auf Online-Banking-Kunden denkbar
Das sogenannte mTAN-Verfahren, bei dem Bankkunden für jeden Auftrag eine Nummer per SMS erhalten, kann hierüber angegriffen werden. Das System gilt bereits seit einer Weile nicht mehr als sicher, da der Versand von SMS-Nachrichten unverschlüsselt erfolgt. Dennoch setzen noch immer einige Banken auf dieses Verfahren. Auch andere Dienste, die eine SMS für die 2FA nutzen, sind grundsätzlich mit dieser Technik angreifbar.
Cyberkriminelle versuchen an Einmalkennwörter zu gelangen
Die Anwendungen geben sich als vermeintliche Apps der türkischen Kryptowährungs-Börse BtcTurk aus. Unter anderem heissen diese Programme «BTCTurk Pro Beta», «BtcTURK Pro Beta» und «BTCTURK PRO». Die Betrüger versuchen hierüber an die Login-Daten zu dem Marktplatz zu gelangen. Um auch an das Einmalkennwort für die 2-Faktor-Authentifizierung zu gelangen, erschleichen sich die schädlichen Apps die Berechtigung, um Benachrichtigungen auf dem Gerätedisplay lesen zu können. So versuchen die Kriminellen dann an das benötigte Kennwort zu gelangen. Die Angreifer haben es dabei gezielt auf Benachrichtigungen durch E-Mail- und SMS-Apps abgesehen. Diese Methode hat aber ihre Grenzen: Kriminelle können lediglich den Text sehen, der in das Benachrichtigungsfeld passt. Generell sind die Texte bei der Zwei-Faktor-Authentifizierung per SMS kurz gehalten. Daher ist die Chance hoch, dass auch das Einmalpasswort sichtbar ist. Die Schad-Apps wurden im Juni 2019 bei Google Play hochgeladen und wurden kurz darauf nach der Benachrichtigung durch ESET wieder gelöscht.
Neue Richtlinien sollen sensible Daten vor Missbrauch schützen
Google wollte mit einer Änderung in den Richtlinien des Play Store die SMS- und Telefonie-Logs von Android-Nutzern vor Missbrauch schützen. Es dürfen nur Apps aus dem Play Store nach Zugriff auf diese Daten fragen, wenn sie als Standard-Apps für Telefonate oder SMS festgelegt wurden. Auch wenn Sie die vorinstallierten Anwendungen hierfür ersetzen. Apps, die aus auf den Diebstahl von Anmeldeinformationen abgesehen haben, verloren so die Möglichkeit sich diese Berechtigung zu erschleichen und damit die SMS-basierte Zwei-Faktor-Authentifizierung für kriminelle Zwecke auszunutzen. (ESET/mc)