Selvom Google har begrænset apps adgang til sms'er i Android, så har hackere alligevel fundet en måde at opsnappe engangskodeord fra tekstbeskederne.
Det fortæller it-sikkerhedsvirksomheden ESET nærmere om i et indlæg her.
Google begrænsede generelle apps' adgang til sms'er og opkaldslogs på Android i marts måned i år. Og en af de positive effekter i den forbindelse var ifølge ESET, at ondsindede apps dermed også mistede muligheden for at opsnappe engangskodeord send via sms som et led i en login-proces med 2-faktor-autentifikation (2FA).
Men nu meddeler ESET, at virksomheden er stødt på to ondsindede apps, som er lagt på Googles app-butik Play i juni. Disse apps er skruet sammen på en måde, så de kan tilgå engangskodeord i sms'er, selvom de ellers ikke har den direkte tilladelse i Android-systemet, der gør det muligt at læse sms'er.
ESET oplyser, at de apps, virksomheden er stødt på, udgiver sig for at være fra den tyrkiske kryptovaluta-børs BtcTurk. De ondsindede apps forsøger at franarre brugeren login-oplysninger til denne tjeneste.

Flere apps på Play
Den ene app blev uploadet til Play under navnet 'BTCTurk Pro Beta' 7. juni 2019. Den er blevet installeret af mere end 50 brugere, før den blev pillet ned igen. Det skete da ESET rettede henvendelse til Googles sikkerhedsfolk.
En anden app blev lagt op 11. juni 2019 under navnet 'BtcTurk Pro Beta' - bemærk Btc i stedet for BTC. Selvom begge apps anvender samme angrebsteknik, så lader det ifølge ESET til at være forskellige angribere, der står bag.
App nummer to blev også indrapporteret til Google af ESET. Appen blev installeret af færre end 50 brugere.
Endelig blev en tredje app lagt op, denne gang med navnet 'BTCTURK PRO'. Denne app havde samme funktionalitet og udseende, som appen fra 11. juni. ESET rapporterede den tredje app til Google 13. juni 2019. Det fremgår ikke af ESETS beskrivelse af forløbet, hvor mange der havde installeret denne app.

Sådan snyder de 2FA-beskyttelse
Men hvordan var det så med den der omgåelse af 2FA-beskyttelsen i Android?
Jo, når førnævnte apps bliver kørt på Android-enheden, bliver brugeren bedt om at give dem tilladelsen Notification access. Og herefter bliver brugeren bedt om at indtaste login-oplysninger til BtcTurk - som et led i forsøget på at få fat i login-oplysningerne.
Notification access giver i ESETS udlægning appen mulighed for at læse indholdet af enhedens notifikations-område. Altså der hvor der eksempelvis kan være preview af en sms eller en mail. Derudover giver den pågældende tilladelse også apps mulighed for at afvise notifikationerne.
Som flere læsere nok har regnet ud, så er det her, problemet ligger i forhold til, hvordan angribere kan få fat i engangskode sendt via sms, trods Googles foranstaltninger fra marts.
BTCTurk Pro Beta
Via Notification access kan de ondsindede BtcTurk-apps tilgå eventuelle engangskoder ved at læse notifikationerne, når en sms eller en mail ankommer. I den nærmere beskrivelse af angrebet, tager ESET afsæt i en af de ondsindede apps, BTCTurk Pro Beta.
Appen har et filter, som kun opsnapper notifikationer fra apps, hvor nøgleordene 'gm, yandex, mail, k9, outlook, sms, messaging' indgår.
Det viste indhold fra de pågældende apps bliver sendt til angriberens server. Indholdet af notifikationer kan tilgås af den ondsindede app, uanset om brugeren har indstillet enheden til ikke at vise notifikationer, når telefonens skærm er låst.

Og da Notification access også gør det muligt for de ondsindede apps at afvise notifikationer på enheden, så kan notifikationerne med engangskoder fjernes, før brugeren opdager dem. Det kan være med til at sløre angrebet.
ESET bemærker, at filterlisten med nøgleord viser, at angriberne både går efter sms'er og mails i forhold til 2FA. ESET nævner i den forbindelse også, at angrebsteknikken kun giver adgang til tekst, der passer i enhedens notifikationsfelt.
Og det kan gøre en forskel i forhold til succesen af angrebet, alt efter, om der er tale om engangskoder på sms eller mail.
Sms'er med engangskoder er ofte kortfattede, og sandsynligheden for at fange engangskoden er formentlig større. Derimod er længden ifølge og formatet på 2FA-beskeder via mail ifølge ESET noget mere varieret, og det kan bevirke, at angriberne ikke umiddelbart har adgang til mail-engangskoderne som følge af Notification access.
Simpelthen fordi, koden kan stå længere nede i mailen og dermed uden for det felt, der optræder i notifikationen.
Endnu en app
Efter analyserne af malwaren rettet mod brugere af BtcTurk, er ESET stødt på endnu en ondsindet app - denne gang rettet mod den tyrkiske kryptovaluta-børs Koineks. Denne app bruger samme angrebsteknik k i forhold til 2FA, som de apps, der er rettet mod BtcTurk.
Som værn mod 2FA-angrebsteknikken anbefaler ESET blandt andet - når det er muligt - at bruge selvstændige software- eller hardware-baserede produkter til at skabe engangskodeord med. Altså frem for at bero på SMS og mail til den slags. Google Authenticator og Yubico’s YubiKey er eksempler på den slags selvstændige produkter.
PC World har en lavet en oversigt fra juni i år over den slags løsninger.