Een Android-malwarestam die aan hackers wordt verkocht, heeft een enge vaardigheid gekregen: het kan nu proberen tweefactorcodes te stelen van de Google Authenticator-app.
Voor het eerst gemeld door ZDNet, ontdekte het Nederlandse beveiligingsbedrijf ThreatFabric de functie in een nieuwe variant van de Cerberus Android Trojan, die is ontworpen om toegang tot de bankrekeningen van mensen te stelen door hun smartphones te kapen.
Indien succesvol geïnstalleerd, kan Cerberus uw toetsaanslagen loggen en al uw sms-berichten verzamelen.
Bovendien kan het u ertoe brengen uw wachtwoord over te dragen aan een app voor mobiel bankieren door een nep-inlogvenster op uw telefoon te genereren.
Soms is het verzamelen van een wachtwoord echter niet voldoende om in te breken in uw internetaccounts.
Gebruikers beschermen steeds vaker hun belangrijkste online eigendommen door een tweede stap toe te voegen aan het inlogproces.
Deze configuratie, bekend als tweefactorauthenticatie, vereist dat iedereen die inlogt, ook een speciale toegangscode invoert die is gegenereerd op de smartphone van de accounthouder om volledige toegang te krijgen.
Google Authenticator is een van de beveiligings-apps die de speciale toegangscodes kunnen genereren die worden gebruikt voor tweefactorauthenticatiesystemen.
Maar het lijkt erop dat de makers van Cerberus werken aan een manier om de 2FA-codes uit de app zelf te stelen.
"Wanneer de app actief is, kan de Trojan de inhoud van de interface ophalen en naar de C2-server (command-and-control) sturen", schreef ThreatFabric deze week in een rapport.
"Nogmaals, we kunnen hieruit afleiden dat deze functionaliteit zal worden gebruikt om authenticatiediensten te omzeilen die afhankelijk zijn van (eenmalige) codes."
Gelukkig heeft de mogelijkheid een grote beperking: de eigenaar van de geïnfecteerde Android-telefoon moet worden misleid om de malware toegang te verlenen tot de interface van de Google Authenticator-app.
Om dit voor elkaar te krijgen, zal Cerberus zich voordoen als een app zoals "Flash Player" en vervolgens van de gebruiker eisen dat deze de Android Accessibility Service-privileges verleent, die zijn ontworpen om mensen met een handicap te helpen hun telefoon te gebruiken.
Dezelfde privileges kunnen echter behoorlijk krachtig zijn en in verkeerde handen de weg vrijmaken voor de overname van een kwaadaardig apparaat.
"Zolang het slachtoffer het niet heeft toegestaan, zal de Trojan erom vragen", vertelde ThreatFabric General Manager Gaetan van Diemen in een e-mail aan Daxdi.
"Eenmaal toegekend, kan de bot alle informatie op het scherm van het geïnfecteerde apparaat lezen / visualiseren, maar ook klikken en communiceren met die inhoud."
Om de Google Authenticator-codes te stelen, start de Cerberus-trojan gewoon de app, kopieert en uploadt hij de inhoud naar de command and control-server van de malware, voegde hij eraan toe.
Voorlopig moet de mogelijkheid voor het stelen van code van Google Authenticator nog worden geadverteerd door de makers van Cerberus.
"Daarom zijn we van mening dat deze variant van Cerberus zich nog in de testfase bevindt, maar binnenkort wordt vrijgegeven", waarschuwde ThreatFabric in zijn rapport.
Sinds juni vorig jaar verhuren de makers van Cerberus toegang tot de malware op een Russisch hackforum, tegen prijzen vanaf $ 4.000 voor drie maanden toegang.
Het is aan de klanten zelf om de malware te verspreiden, die via kwaadaardige links in e-mails en sms-berichten kan worden verspreid.
Dus om dit te voorkomen, moet u alleen Android-apps downloaden uit de officiële Google Play Store, die schadelijke producten filtert.
Google heeft zelf nog geen commentaar gegeven op het ThreatFabric-rapport.
De authenticator-app van het bedrijf is echter niet het enige 2FA-product dat wordt beïnvloed.
Door misbruik te maken van de privileges van de toegankelijkheidsservice, kan de malware informatie uit elke app op de smartphone stelen, zei van Diemen.
