En Android-malware-stamme, der sælges til hackere, har fået en skræmmende kapacitet: den kan nu forsøge at stjæle tofaktorkoder fra Google Authenticator-appen.
Først rapporteret af ZDNet opdagede det hollandske sikkerhedsfirma ThreatFabric funktionen i en ny variant af Cerberus Android Trojan, som er designet til at stjæle adgang til folks bankkonti ved at kapre deres smartphones.
Hvis den er installeret, er Cerberus i stand til at logge dine tastetryk og høste alle dine SMS-beskeder.
Derudover kan det narre dig til at aflevere din adgangskode til en mobilbankapp ved at generere et falsk loginvindue på din telefon.
Imidlertid er det undertiden ikke nok at indsamle en adgangskode til at bryde ind på dine internetkonti.
I stigende grad beskytter brugerne deres vigtigste onlinegenskaber ved at tilføje et andet trin til loginprocessen.
Denne opsætning, kendt som tofaktorautentificering, kræver, at enhver, der logger ind, også indtaster en særlig adgangskode, der er genereret på kontohavers smartphone, for at få fuld adgang.
Google Authenticator er blandt de sikkerhedsapps, der kan generere de specielle adgangskoder, der bruges til tofaktorautentificeringssystemer.
Men det ser ud til, at Cerberus 'skabere arbejder på en måde at pile 2FA-koder fra selve appen.
”Når appen kører, kan Trojanen få indholdet af grænsefladen og kan sende den til C2-serveren (kommando-og-kontrol),” skrev ThreatFabric i en rapport i denne uge.
"Endnu en gang kan vi udlede, at denne funktionalitet vil blive brugt til at omgå godkendelsestjenester, der er afhængige af (engangspass) koder."
Heldigvis har kapaciteten en stor begrænsning: Ejeren af ??den inficerede Android-telefon skal narres til at give malware adgang til Google Authenticator-appens grænseflade.
For at trække dette ud, vil Cerberus foregive at være en app som "Flash Player" og derefter kræve, at brugeren giver Android rettigheder til tilgængelighedstjeneste, som er designet til at hjælpe mennesker med handicap med at bruge deres telefon.
De samme privilegier kan dog være ret magtfulde og i forkerte hænder bane vejen for en overtagelse af skadelig enhed.
”Så længe offeret ikke har givet det, vil trojaneren bede om det,” sagde ThreatFabric General Manager Gaetan van Diemen til Daxdi i en e-mail.
"Når den er tildelt, vil bot være i stand til at læse / visualisere alle oplysninger på den inficerede enheds skærm, men også klikke og interagere med dette indhold."
For at stjæle Google Authenticator-koder vil Cerberus Trojan simpelthen starte appen og derefter kopiere og uploade indholdet til malwareens kommando- og kontrolserver, tilføjede han.
Indtil videre er Google Authenticator-kodestjælingskapacitet endnu ikke annonceret af Cerberus skabere.
”Derfor mener vi, at denne variant af Cerberus stadig er i testfasen, men muligvis frigives snart,” advarede ThreatFabric i sin rapport.
Siden sidste juni har Cerberus skabere udlejet adgang til malware på et russisk hackingsforum til priser, der starter ved $ 4.000 i tre måneders adgang.
Det er op til kunderne selv at sprede malware, som kan cirkuleres via ondsindede links i e-mails og SMS-beskeder.
Så for at undgå det skal du holde fast ved kun at downloade Android-apps fra den officielle Google Play Butik, som filtrerer ondsindede produkter ud.
Google har endnu ikke kommenteret ThreatFabrics rapport.
Virksomhedens godkendelsesapp er imidlertid ikke det eneste 2FA-produkt, der er berørt.
Ved at misbruge rettighederne til tilgængelighedstjenesten kunne malware udvise oplysninger fra enhver app på smartphonen, sagde van Diemen.
