信息窃取Android应用程序可以获取一次密码以逃避2FA保护

已发现恶意Android应用程序，这些应用程序能够访问一次性密码(OTP)以绕过双因素身份验证(2FA)安全机制。

ESET的研究人员周四表示，该应用程序假冒了一个位于土耳其的加密货币交易所，名为BtcTurk，可在GooglePlay上下载。

寻求绕过2FA以便劫持受害者设备的移动应用程序经常要求获取控制SMS设置所需的权限，这将允许恶意软件拦截旨在为在线帐户添加第二层安全性的2FA代码。

今年早些时候，谷歌限制了Android中的短信和通话记录权限，以阻止开发人员获得对这些敏感权限的访问权限，而无需首先在科技巨头面前表达自己的情况。

严厉打击导致一些合法开发人员的混乱，他们的应用程序突然有失去有用功能的风险。然而，当涉及到恶意应用时，谷歌政策的变化剥夺了许多可用于滥用短信和呼叫日志控制以绕过2FA的选项。

在ESET发现的应用程序中，开发人员提出了一种规避Google变更的方法。

第一个应用程序于2019年6月7日以开发人员和应用程序名称“BTCTurkProBeta”上载到GooglePlay。第二个名为“BtcTurkProBeta”，属于开发商名称“BtSoft”。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！