ESET, die Cybersicherheitsfirma hinter dem Antivirenprogramm NOD32, hat entdeckt, dass neue Schadsoftware für Android-Betriebssysteme die Benachrichtigungen eines Smartphones auslesen kann, wodurch Hacker in der Lage sind, Codes für Zwei-Faktor-Authentisierung (2FA) zu entwenden.  

Laut dem Bericht von ESET sind neue bösartige Apps in der Lage, auf Bestätigungscodes zuzugreifen, die Smartphone-Besitzern zugeschickt werden, um sich bei einem Service anzumelden. Damit sind auch die jüngsten Sicherheitsvorkehrungen von Google hinfällig, der Konzern hatte im März 2019 eigentlich erst die Zugriffsrechte von Apps eingeschränkt, um dies zu verhindern. Obendrein können auch die Zwei-Faktor-Passwörter aus einigen E-Mail-Programmen ausgelesen werden.

Die jeweiligen Apps imitieren in diesem Fall die türkische Kryptobörse BTC Turk, um an Login-Informationen von deren Nutzern zu gelangen, aber „anstatt, dass der SMS-Verlauf ausgelesen wird, um die 2FA-Passwörter abzufangen, können die bösartigen Apps diese aus den Benachrichtigungen extrahieren, die auf dem Startbildschirm eines Smartphones angezeigt werden“. Gleichsam kann die Schadsoftware auch eingehende Benachrichtigungen unterdrücken, um zu verhindern, dass betroffene Nutzer nicht über den anschließenden Hackerangriff informiert werden. So heißt es:

„Neben dem Auslesen der 2FA-Bestätigungscodes können die Apps auch eingehende Benachrichtigungen unterdrücken, damit die Opfer nicht hellhörig werden.“

Am 7. Juni ist erstmals eine der entsprechenden Apps im Google Play Store aufgetaucht, wobei diese den Namen BTCTurk Pro Beta trägt und schon von mehr als 50 Nutzern installiert wurde, ehe ESET eine entsprechende Warnung an Google weiterreichen konnte. Zwei weitere Versionen der Software wurden im Play Store veröffentlicht, allerdings wurden diese bereits wieder entfernt.

Wie Cointelegraph diesen Monat berichtet hat, konnte die Kryptobörse BitMEX eine ansteigende Anzahl an Angriffen auf Login-Daten der eigenen Kunden feststellen. Dementsprechend warnt die Handelsplattform ihre Nutzer ausdrücklich, Sicherheitsvorkehrungen zu treffen.

Im Juni haben Sicherheitsforscher wiederum einen Trojaner gefunden, der sich als die Seite Cryptohopper ausgibt.