新版本的“Cerberus”安卓銀行木馬將能夠竊取谷歌認證應用程序生成的一次性代碼,並繞過受2fa(雙因素認證)保護的賬戶。
安全研究人員稱,安卓惡意軟件現在可以提取並竊取通過谷歌認證器生成的一次性密碼。谷歌認證器是一款移動應用,用於許多在線賬戶的雙因素認證層。
谷歌在2010年推出了認證手機應用。這款應用的工作原理是生成六到八位數長的唯一代碼,用戶在嘗試訪問在線賬戶時必須在登錄表單中輸入這些代碼。
谷歌推出了認證器,作爲基於短信的一次性密碼的替代品。因爲谷歌認證碼是在用戶的智能手機上生成的,並且從不通過不安全的移動網絡傳播,所以使用認證碼作爲2FA層的在線賬戶被認爲比那些受基於短信的代碼保護的賬戶更安全。
在本週發佈的一份報告中,來自荷蘭移動安全公司ThreatFabric的安全研究人員表示,他們在Cerberus的最新樣本中發現了Authenticator OTP竊取功能,Cerberus是一種相對較新的Android銀行木馬,於2019年6月發佈。
ThreatFabric團隊說:“濫用Accessibility特權,該木馬現在還可以從Google Authenticator應用程序中竊取2FA代碼。”
他們補充說:“當[Authenticator]應用程序運行時,特洛伊木馬可以獲得界面的內容並將其發送到[命令和控制]服務器。”
ThreatFabric表示,此新功能尚未在黑客論壇上宣傳和銷售的Cerberus版本中提供。
研究人員說:“我們相信Cerberus的這種變體仍處於測試階段,但可能很快就會發布。”
總而言之,ThreadFabric團隊指出Cerberus銀行木馬的當前版本非常先進。 他們說,Cerberus現在具有與高級訪問木馬(RAT)中常見的功能相同的功能。
這些RAT功能使Cerberus操作員可以遠程連接到受感染的設備,使用所有者的銀行憑證來訪問在線銀行帳戶,然後使用Authenticator OTP竊取功能繞過帳戶上的2FA保護(如果有)。
ThreatFabric研究人員認爲,Cerberus木馬極有可能會使用此功能繞過在線銀行帳戶上基於身份驗證器的2FA保護,但是,沒有任何阻止黑客繞過其他類型帳戶上基於身份驗證器的2FA的措施。 這包括電子郵件收件箱,編碼存儲庫,社交媒體帳戶,Intranet等。
從歷史上看,很少有黑客團體和更少的惡意軟件應變[1、2]能夠繞過多因素(MFA)身份驗證解決方案。
如果此功能可以按預期運行並隨Cerberus一起提供,則這將使銀行木馬成爲惡意軟件中的精英類別。
ThreatFabric報告中詳細介紹了新的Cerberus功能,該報告總結了在Android惡意軟件中檢測到的所有近期與遠程訪問相關的升級。 該報告包含有關其他Android惡意軟件操作的其他見解,例如Gustuff,Hydra,Ginp和Anubis。