信息窃取Android应用程序可以获取一次密码以逃避2FA保护

已发现恶意Android应用程序，这些应用程序能够访问一次性密码(OTP)以绕过双因素身份验证(2FA)安全机制。

ESET的研究人员周四表示，该应用程序假冒了一个位于土耳其的加密货币交易所，名为BtcTurk，可在GooglePlay上下载。

寻求绕过2FA以便劫持受害者设备的移动应用程序经常要求获取控制SMS设置所需的权限，这将允许恶意软件拦截旨在为在线帐户添加第二层安全性的2FA代码。

今年早些时候，谷歌限制了Android中的短信和通话记录权限，以阻止开发人员获得对这些敏感权限的访问权限，而无需首先在科技巨头面前表达自己的情况。

严厉打击导致一些合法开发人员的混乱，他们的应用程序突然有失去有用功能的风险。然而，当涉及到恶意应用时，谷歌政策的变化剥夺了许多可用于滥用短信和呼叫日志控制以绕过2FA的选项。

在ESET发现的应用程序中，开发人员提出了一种规避Google变更的方法。

第一个应用程序于2019年6月7日以开发人员和应用程序名称“BTCTurkProBeta”上载到GooglePlay。第二个名为“BtcTurkProBeta”，属于开发商名称“BtSoft”。

标签：

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。