ESET揭露可竊取Android手機一次性密碼的惡意程式

資安業者ESET近日揭露了兩款Android惡意程式，可藉由取得「通知存取」（Notification access）權限來窺探裝置上所收到的通知，包括一次性密碼（One-time password，OTP）在內。

ESET表示，自從Googe在今年1月限制了Android程式存取簡訊（SMS）與通話紀錄（Call Log）權限的能力之後，那些專門竊取憑證的惡意程式就更難濫用這些權限來繞過基於簡訊的雙因素認證（two-factor authentication，2FA）機制了。

不過，最近發現了兩款偽裝成土耳其加密貨幣交易平台BtcTurk的Android程式，卻是藉由通知存取權限來繞過基於簡訊的2FA機制。

這兩款程式分別是BTCTurk Pro Beta與BtcTurk Pro Beta，名稱非常相近，只有大小寫的不同，且所使用的手法類似，但卻是由不同的開發人員所打造。

在安裝了BTCTurk Pro Beta之後，它會先向使用者取得通知存取的權限，該權限允許行動程式讀取手機上所跳出的通知，包括來自其它程式的通知，還能關閉通知，或是點選通知上的按鍵。

Google是自Android 4.3（Jelly Bean）開始提供通知存取權限，因此大約有9成的Android裝置都支援該權限。

一旦使用者許可了該權限，隨之便會出現要使用者輸入BtcTurk憑證的假登入視窗，但在使用者輸入之後，它便推說暫時無法提供服務，但事實上卻已經將使用者的憑證傳送到駭客的伺服器上。

再來該程式就會把手機螢幕上出現的通知都傳送到自己的伺服器上，包括利用簡訊或電子郵件傳送的OTP在內，由於它還可以關閉通知，或是將通知設為靜音，得以避免使用者察覺詐騙交易。

ESET是在今年6月才發現這兩款惡意程式，也在它們各自的安裝數量都不到50的時候，就通知Google並將它們移除，資安專家建議使用加密貨幣或金融程式時，最好再三確認它來自官方網站，以軟體或硬體的OTP產生器，來取代以簡訊及郵件來傳送OTP，也不要隨意允許程式取得通知存取權限。