新版本的“Cerberus”安卓银行木马将能够窃取谷歌认证应用程序生成的一次性代码,并绕过受2fa(双因素认证)保护的账户。
安全研究人员称,安卓恶意软件现在可以提取并窃取通过谷歌认证器生成的一次性密码。谷歌认证器是一款移动应用,用于许多在线账户的双因素认证层。
谷歌在2010年推出了认证手机应用。这款应用的工作原理是生成六到八位数长的唯一代码,用户在尝试访问在线账户时必须在登录表单中输入这些代码。
谷歌推出了认证器,作为基于短信的一次性密码的替代品。因为谷歌认证码是在用户的智能手机上生成的,并且从不通过不安全的移动网络传播,所以使用认证码作为2FA层的在线账户被认为比那些受基于短信的代码保护的账户更安全。
在本周发布的一份报告中,来自荷兰移动安全公司ThreatFabric的安全研究人员表示,他们在Cerberus的最新样本中发现了Authenticator OTP窃取功能,Cerberus是一种相对较新的Android银行木马,于2019年6月发布。
ThreatFabric团队说:“滥用Accessibility特权,该木马现在还可以从Google Authenticator应用程序中窃取2FA代码。”
他们补充说:“当[Authenticator]应用程序运行时,特洛伊木马可以获得界面的内容并将其发送到[命令和控制]服务器。”
ThreatFabric表示,此新功能尚未在黑客论坛上宣传和销售的Cerberus版本中提供。
研究人员说:“我们相信Cerberus的这种变体仍处于测试阶段,但可能很快就会发布。”
总而言之,ThreadFabric团队指出Cerberus银行木马的当前版本非常先进。 他们说,Cerberus现在具有与高级访问木马(RAT)中常见的功能相同的功能。
这些RAT功能使Cerberus操作员可以远程连接到受感染的设备,使用所有者的银行凭证来访问在线银行帐户,然后使用Authenticator OTP窃取功能绕过帐户上的2FA保护(如果有)。
ThreatFabric研究人员认为,Cerberus木马极有可能会使用此功能绕过在线银行帐户上基于身份验证器的2FA保护,但是,没有任何阻止黑客绕过其他类型帐户上基于身份验证器的2FA的措施。 这包括电子邮件收件箱,编码存储库,社交媒体帐户,Intranet等。
从历史上看,很少有黑客团体和更少的恶意软件应变[1、2]能够绕过多因素(MFA)身份验证解决方案。
如果此功能可以按预期运行并随Cerberus一起提供,则这将使银行木马成为恶意软件中的精英类别。
ThreatFabric报告中详细介绍了新的Cerberus功能,该报告总结了在Android恶意软件中检测到的所有近期与远程访问相关的升级。 该报告包含有关其他Android恶意软件操作的其他见解,例如Gustuff,Hydra,Ginp和Anubis。
