Araştırmacılar yakın zamanda, cihazları internetteki çeşitli hesapları doğrulamak için kullanılan SMS geçişlerine dönüştüren kötü amaçlı bir Android uygulaması keşfettiler.
Basın zamanında, uygulama Google Play Store’da 100.000’den fazla indirildi ve hala indirilebilir.
Çoğu zaman, insanlar çevrimiçi hesaplar oluşturduklarında, cep telefonları aracılığıyla kimliklerini doğrulamaları ve hesap oluşturmaya spam gönderen botlar veya kullanıcılar olmadıklarını doğrulamaları gerekir. Kullanıcılar telefon numaralarını paylaşır ve kimliklerini doğrulayan tek seferlik bir parola (OTP) gönderilir.
Sahte SMS uygulamaları
Çevrimiçi olarak takma adla kalmak isteyenler için, telefon numaralarını paylaşmak zorunda kalmadan çevrimiçi hesaplar oluşturabilmek kulağa çekici geliyor, ancak mevcut yöntemler genellikle masum insanları riske atıyor.
Siber güvenlik destek şirketi Evina’dan Rsearcher Maxime Ingrao kısa süre önce kendisini “basit bir SMS uygulaması” olarak tanıtan bir uygulama olan Symoo’yu keşfetti. Bunun yerine, yaptığı tek şey, SMS tabanlı OTP kodlarını, başka bir yerde hesap oluşturmak için tehdit aktörleri içerebilecek anonim kullanıcılara iletmektir.
Kullanıcılar uygulamayı yüklediğinde, SMS izinleri ister (bir SMS uygulaması olarak tanımlandığı düşünülürse, bu izinler alarm vermemelidir). Daha sonra kullanıcının telefon numarasını sorar ve eğer verirlerse, ilerleme çubuğunu gösteren sahte bir yükleme ekranı görüntüler.
Arka planda, uzaktaki operatörlerin birden fazla iki faktörlü kimlik doğrulama SMS mesajı göndermelerini isteyerek farklı çevrimiçi hizmetlerde hesap oluşturmalarına yardımcı olur. Bu aşama tamamlandığında, uygulama donuyor ve işlevsiz görünüyor.
Gerçekte Ingrao, Symoo’nun çalınan SMS verilerini artık Play Store’da bulunmayan Virtual Number adlı başka bir uygulamayla paylaştığını tespit etti.
Bununla birlikte, geliştiricinin, hesap oluşturan herkese yardımcı olmak için gerçek telefon numaraları sunan “Etkinleştirme PW – Sanal numaralar” adlı benzer bir uygulaması vardır. Kullanıcılar, 0,50 ABD Doları karşılığında bir telefon numarası alabilir ve bu numarayı SMS tabanlı bir hesabı doğrulamak için kullanabilir. Bu uygulamanın 10.000’den fazla indirmesi var.
Bir sanal numara hizmetinin doğası gereği yanlış olan hiçbir şey olmamasına rağmen, Google bile şu şekilde bir tane sunuyor: Google sesi (yeni sekmede açılır)kullanıcılara, dolandırıcılığın kurbanı olmamaları için bu uygulamayı mümkün olan en kısa sürede kaldırmaları önerilir.
Aracılığıyla BleepingBilgisayar (yeni sekmede açılır).