Angriff auf SMS-basierte 2-Faktor-Authentifizierung

Der Security-Spezialist Eset warnt vor gefälschten Kryptowährungs-Apps, die Googles Play Store nutzen, um auf Android-Geräten Zugriff auf die SMS-basierte 2-Faktor-Authentifizierung (2FA) zu erhalten.
 
Die Apps umgehen die von Google erst kürzlich aufgestellten Richtlinien für den Zugriff auf Telefonie- und SMS-Logs. Über einen Umweg erhalten sie Zugriff auf diese Daten: Dabei erschleichen sich die Apps die Berechtigung, Benachrichtigungen auf dem Gerätedisplay lesen zu dürfen, so auch Einmalpasswörter, die via SMS zugestellt werden.
 
Die im Juni 2019 entdeckten Anwendungen geben sich als vermeintliche Apps der türkischen Kryptowährungs-Börse BtcTurk aus. Unter anderem heissen diese Programme "BTCTurk Pro Beta", "BtcTURK Pro Beta" und "BTCTURK PRO". Gemäss Eset bestehe die Möglichkeit, dass Cyberkriminelle diese Methode zukünftig auch für Angriffe auf das Online-Banking und andere Dienste, die auf eine SMS-basierte 2FA setzen, ausnutzen.
 
Der neuste Fall ist nicht die erste Hacker-Attacke auf die 2FA via SMS. So wurden im Dezember 2018 Google- und Yahoo-Konten mittels Phishing-Mails und anschliessend geknackter 2FA angegriffen. Im Mai 2017 wurden Phishing-Mails und eine Schwachstelle im SS7-Netzwerk genutzt, um SMS auf neue Nummern umzuleiten und so Geld von Bankkunden auf fremde Konten zu überweisen.
 
"Die neuen Google-Regeln, dass Apps nicht mehr einfach so Zugriff auf die Telefonie- und SMS-Logs erhalten, war ein richtiger Schritt zum Schutz der SMS-basierten 2-Faktor-Authentifizierung", sagt Eset-Securityexperte Thomas Uhlemann. "Nun sehen wir den ersten Fall, wie Cyberkriminelle diese Richtlinie versuchen zu umgehen, um weiterhin an diese Informationen zu gelangen. Für Angriffe gegen das mTAN-Verfahren beim Online-Banking und ähnliche Arten der 2FA ist diese neuartige Technik geeignet."
 
Laut Eset stammen die Anwendungen von den gleichen Angreifern, die mit einer ähnlichen Fake-App zuvor bereits auf die türkische Krypto-Börse Koineks abzielten. Eset hat die Details zur Angriffsmethode auf der Firmen-Website publiziert. (paz)