Вредонос Android может украсть коды Google Authenticator 2FA!

Исследователи в области безопасности говорят, что вредоносное ПО Android теперь может извлекать и похищать одноразовые пароли (OTP), сгенерированные через Google Authenticator, мобильное приложение, которое используется в качестве слоя двухфакторной аутентификации (2FA) для многих учетных записей в Интернете.

Google запустил мобильное приложение Authenticator в 2010 году. Приложение работает, генерируя уникальные коды длиной от шести до восьми цифр, которые пользователи должны вводить в формах входа при попытке доступа к онлайн-аккаунтам.

Google запустил Authenticator в качестве альтернативы одноразовым паролям на основе SMS. Поскольку коды Google Authenticator генерируются на смартфоне пользователя и никогда не передаются через незащищенные мобильные сети, учетные записи в Интернете, использующие коды Authenticator в качестве уровней 2FA, считаются более безопасными, чем те, которые защищены кодами на основе SMS.

   В отчете, опубликованном на этой неделе, исследователи в области безопасности из голландской компании по защите мобильных устройств ThreatFabric говорят, что они обнаружили возможность OTP-кражи Authenticator в последних образцах Cerberus, относительно нового банковского трояна Android, запущенного в июне 2019 года.

«Используя злоупотребления привилегиями доступа, троянец теперь также может украсть коды 2FA из приложения Google Authenticator», - говорится в сообщении команды ThreatFabric.

«Когда запущено приложение [Authenticator], троянец может получить содержимое интерфейса и отправить его на сервер [командования и управления]», - добавили они.

ThreatFabric говорит, что эта новая функция еще не появилась в версии Cerberus, рекламируемой и продаваемой на хакерских форумах.

«Мы считаем, что этот вариант Cerberus все еще находится на стадии тестирования, но может быть выпущен в ближайшее время», - сказали исследователи.

РАЗРАБОТАНА ОСОБЕННОСТЬ ДЛЯ ПЕРЕХОДА 2FA ПО БАНКОВСКИМ СЧЕТАМ

В целом, команда ThreadFabric отмечает, что текущие версии банковского трояна Cerberus очень продвинуты. Говорят, что в настоящее время в Cerberus есть те же самые функции, которые обычно присутствуют в троянах удаленного доступа (RAT), превосходном классе вредоносных программ.

Эти функции RAT позволяют операторам Cerberus удаленно подключаться к зараженному устройству, использовать банковские учетные данные владельца для доступа к учетной записи онлайн-банкинга, а затем использовать функцию OTP-кражи Authenticator, чтобы обойти защиту 2FA для учетной записи - если таковая имеется.

Исследователи ThreatFabric полагают, что троянец Cerberus, скорее всего, будет использовать эту функцию для обхода средств защиты 2FA на основе аутентификатора для учетных записей онлайн-банкинга, однако ничто не мешает хакерам обходить защиту 2FA на основе аутентификатора для других типов учетных записей. Сюда входят почтовые ящики, репозитории кодов, учетные записи социальных сетей, интрасети и другие.

Исторически очень немногие хакерские группы и еще меньше вредоносных программ [1, 2] когда-либо имели возможность обходить решения многофакторной (MFA) аутентификации.

Если эта функция будет работать так, как задумано, и будет поставляться вместе с Цербером, это поставит банковский троян в элитную категорию вредоносных программ.

Новые возможности Cerberus подробно описаны в отчете ThreatFabric, в котором обобщены все последние обновления, связанные с удаленным доступом, обнаруженные в вредоносных программах Android. В отчете содержится дополнительная информация о других операциях с вредоносным ПО Android, таких как Gustuff, Hydra, Ginp и Anubis.

Предупреждение: Вся информация представлена исключительно в образовательных целях.