Google Play托管的网络钓鱼应用冒充土耳其加密货币交易所

模仿土耳其加密货币交易的恶意应用程序BtcTurk正在规避谷歌最近采用的安全增强措施。

根据研究人员的说法，这些应用程序正在访问一次性密码（OTP）和基于SMS的双因素身份验证（2FA），以及一些基于电子邮件的2FA系统。

通过模拟加密货币交易所，应用程序能够针对用户的登录凭据进行网络钓鱼。

恶意应用程序不会拦截SMS消息以绕过用户帐户和活动的2FA保护，而是从包含设备显示屏上显示的通知中获取OTP。

令人担忧的是，除了能够阅读2FA通知之外，应用程序还会解雇它们，这意味着受害者无法注意到发生的欺诈性交易。

由ESET分析的第一个恶意应用程序于6月7日以“BTCTurk Pro Beta”的形式上传为Google Play，名为“BTCTurk Pro Beta”。

在ESET向Google的安全团队报告之前，它已被超过50个用户安装。事实上，值得注意的是，BtcTurk的官方移动应用程序与该公司的交易所服务相关联，仅供土耳其用户使用。

几天后，即6月11日，第二个应用程序以“BtcTurk Pro Beta”的名称上传。攻击者使用了“BtSoft”这次不同的开发者名称。

从本质上讲，这两个应用程序使用类似的伪装，但研究人员指出，它们似乎是不同攻击者的工作。第二个应用程序是在不到50人下载后于6月12日报告的。

攻击者没有被吓倒，上传了第三个具有相同功能的应用程序，这次使用“BTCTURK PRO”作为应用程序名称并使用相同的开发人员名称，图标和屏幕截图。该版本于2019年6月13日报道。

它们出现在Google Play上的前两个恶意应用程序。

这一发现是在ESET分析另一个模仿另一个土耳其加密货币交易所Koineks的恶意应用之后发现的。该应用程序使用相同的恶意技术绕过短信和基于电子邮件的2FA，但与最新版本不同，缺乏解除和静音通知的能力。

与此同时，建议Android用户保持警惕，卸载所有可疑应用并更改密码。

在ESET研究人员发现Google Play上至少有两款专门用于窃取用户硬币的应用程序后，这一发现有点不到一个月。

在此之前，安全研究员Harry Denley发现了一项网络钓鱼活动，该活动欺骗受害者下载恶意Chrome扩展程序，该扩展程序被编程为获取用户的私钥。