Эксперты компании ThreatFabric сообщают, что банковский троян для Android Cerberus научился похищать коды двухфакторной аутентификации, сгенерированные приложением Google Authenticator, и таким образом обходить защиту.
Приложение Google Authenticator было запущено десять лет назад, 2010 году. Приложение позиционируется как альтернатива одноразовым паролям через SMS. Так как коды Google Authenticator генерируются на самом устройстве пользователя и не передаются через незащищенные мобильные сети, учетные записи, которые используют Google Authenticator для двухфакторной аутентификации, считаются более защищенными.
Напомню, что вредонос Cerberus был обнаружен ИБ-специалистами летом 2019 года. Тогда сообщалось, что Cerberus не использует какие-либо уязвимости и распространяется исключительно за счет социальной инженерии. Малварь позволяет злоумышленникам установить полный контроль над зараженными устройством, а также обладает классическим для банкера функциями, такими как использование оверлеев, контроль SMS и извлечение списка контактов.
В новом отчете специалисты ThreadFabric рассказывают, что последние версии Cerberus – это весьма продвинутая малварь. В частности, в настоящее время Cerberus использует функции, которые обычно присутствуют в троянах удаленного доступа (RAT). Эти функции позволяют операторам Cerberus удаленно подключаться к зараженному устройству, изменять настройки девайса, устанавливать и удалять приложения, использовать учетные данные жертвы для доступа к онлайн-банкингу, а также похищать одноразовые пароли из Google Authenticator для обхода двухфакторной аутентификации (если таковая имеется).
Судя по всему, новая функция, позволяющая воровать коды 2ФА, пока не входит в текущую версию Cerberus, рекламируемую и продаваемую на хакерских форумах. По мнению исследователей, этот вариант Cerberus еще находится на этапе тестирования.
«Злоупотребления привилегиями Accessibility, троян может похищать коды 2ФА из приложения Google Authenticator. Когда запущено приложение [Authenticator], троян способен извлечь содержимое интерфейса и отправить его на свой управляющий сервер», — пишут эксперты.
Аналитики ThreatFabric считают, что Cerberus, скорее всего, будет использовать эту функцию для обхода двухфакторной аутентификации в банках, но ничто не мешает злоумышленникам обходить 2ФА и для других типов учетных записей, включая почтовые ящики, репозитории, аккаунты социальных сетей и так далее.
