Исследователи
в области безопасности говорят, что вредоносное ПО Android теперь может
извлекать и похищать одноразовые пароли (OTP), сгенерированные через Google Authenticator, мобильное приложение, которое
используется в качестве слоя двухфакторной аутентификации (2FA) для многих
учетных записей в Интернете.
Google
запустил мобильное приложение Authenticator в 2010 году. Приложение работает,
генерируя уникальные коды длиной от шести до восьми цифр, которые пользователи
должны вводить в формах входа при попытке доступа к онлайн-аккаунтам.
Google
запустил Authenticator в качестве альтернативы одноразовым паролям на основе
SMS. Поскольку коды Google Authenticator генерируются на смартфоне пользователя
и никогда не передаются через незащищенные мобильные сети, учетные записи в
Интернете, использующие коды Authenticator в качестве уровней 2FA, считаются
более безопасными, чем те, которые защищены кодами на основе SMS.
В отчете, опубликованном на этой неделе,
исследователи в области безопасности из голландской компании по защите
мобильных устройств ThreatFabric говорят, что они обнаружили возможность
OTP-кражи Authenticator в последних образцах Cerberus, относительно нового
банковского трояна Android, запущенного в июне 2019 года.
«Используя
злоупотребления привилегиями доступа, троянец теперь также может украсть коды
2FA из приложения Google Authenticator», - говорится в сообщении команды
ThreatFabric.
«Когда
запущено приложение [Authenticator], троянец может получить содержимое
интерфейса и отправить его на сервер [командования и управления]», - добавили
они.
ThreatFabric
говорит, что эта новая функция еще не появилась в версии Cerberus,
рекламируемой и продаваемой на хакерских форумах.
«Мы считаем,
что этот вариант Cerberus
все еще находится на стадии тестирования, но может быть выпущен в ближайшее
время», - сказали исследователи.
РАЗРАБОТАНА
ОСОБЕННОСТЬ ДЛЯ ПЕРЕХОДА 2FA
ПО БАНКОВСКИМ СЧЕТАМ
В целом,
команда ThreadFabric
отмечает, что текущие версии банковского трояна Cerberus очень продвинуты. Говорят, что в
настоящее время в Cerberus
есть те же самые функции, которые обычно присутствуют в троянах удаленного
доступа (RAT),
превосходном классе вредоносных программ.
Эти
функции RAT
позволяют операторам Cerberus
удаленно подключаться к зараженному устройству, использовать банковские учетные
данные владельца для доступа к учетной записи онлайн-банкинга, а затем
использовать функцию OTP-кражи
Authenticator,
чтобы обойти защиту 2FA
для учетной записи - если таковая имеется.
Исследователи
ThreatFabric
полагают, что троянец Cerberus,
скорее всего, будет использовать эту функцию для обхода средств защиты 2FA на основе аутентификатора для
учетных записей онлайн-банкинга, однако ничто не мешает хакерам обходить защиту
2FA
на основе аутентификатора для других типов учетных записей. Сюда входят
почтовые ящики, репозитории кодов, учетные записи социальных сетей, интрасети и
другие.
Исторически
очень немногие хакерские группы и еще меньше вредоносных
программ [1, 2] когда-либо имели возможность
обходить решения многофакторной (MFA) аутентификации.
Если эта
функция будет работать так, как задумано, и будет поставляться вместе с
Цербером, это поставит банковский троян в элитную категорию вредоносных
программ.
Новые
возможности Cerberus
подробно описаны в отчете ThreatFabric, в котором обобщены все
последние обновления, связанные с удаленным доступом, обнаруженные в
вредоносных программах Android.
В отчете содержится дополнительная информация о других операциях с вредоносным
ПО Android,
таких как Gustuff,
Hydra,
Ginp
и Anubis.
Предупреждение:
Вся информация представлена исключительно в образовательных целях.
В закладки однозначно.....
ОтветитьУдалить