En Android-skadlig stam som säljs till hackare har fått en skrämmande förmåga: den kan nu försöka stjäla tvåfaktorkoder från Google Authenticator-appen.
Först rapporterades av ZDNet, det holländska säkerhetsföretaget ThreatFabric upptäckte funktionen i en ny variant av Cerberus Android Trojan, som är utformad för att stjäla åtkomst till människors bankkonton genom att kapa deras smartphones.
Om installationen lyckats kan Cerberus logga dina tangenttryckningar och skörda alla dina SMS-meddelanden.
Dessutom kan det lura dig att överlämna ditt lösenord till en mobilbankapp genom att skapa ett falskt inloggningsfönster på din telefon.
Ibland är det dock inte tillräckligt att samla in ett lösenord för att bryta in på dina internetkonton.
Användare skyddar alltmer sina viktigaste onlinegenskaper genom att lägga till ett andra steg i inloggningsprocessen.
Denna inställning, känd som tvåfaktorautentisering, kräver att alla som loggar in också skriver in ett särskilt lösenord som genereras på kontoinnehavarens smartphone för att få full åtkomst.
Google Authenticator är bland säkerhetsapparna som kan generera de speciella lösenord som används för tvåfaktorsautentiseringssystem.
Men det verkar som om Cerberus skapare arbetar på ett sätt att plundra 2FA-koder från själva appen.
"När appen körs kan Trojan hämta innehållet i gränssnittet och kan skicka det till C2-servern (command-and-control)", skrev ThreatFabric i en rapport den här veckan.
"Återigen kan vi dra slutsatsen att denna funktion kommer att användas för att kringgå autentiseringstjänster som är beroende av (engångskod) -koder."
Lyckligtvis har kapaciteten en stor begränsning: Ägaren till den infekterade Android-telefonen måste luras för att ge skadlig programvara åtkomst till Google Authenticator-appens gränssnitt.
För att få fram det här kommer Cerberus att låtsas vara en app som ”Flash Player” och sedan kräva att användaren beviljar Android-åtkomsttjänstbehörigheter, som är utformade för att hjälpa personer med funktionsnedsättning att använda sin telefon.
Men samma privilegier kan vara ganska kraftfulla och i fel händer kan bana väg för en skadlig enhetsövertagande.
"Så länge offret inte har beviljat det kommer trojanen att be om det", säger ThreatFabric General Manager Gaetan van Diemen till Daxdi i ett mejl.
"När botten har beviljats ??kommer den att kunna läsa / visualisera all information på den infekterade enhetens skärm men också klicka och interagera med det innehållet."
För att stjäla Google Authenticator-koder kommer Cerberus Trojan helt enkelt att starta appen, sedan kopiera och ladda upp innehållet till skadlig programvara kommando- och kontrollserver, tillade han.
För tillfället har Google Authenticator-kodstöldsfunktionen ännu inte annonserats av Cerberus skapare.
"Därför tror vi att denna variant av Cerberus fortfarande är i testfasen men kanske släpps snart", varnade ThreatFabric i sin rapport.
Sedan i juni förra året har Cerberus skapare hyrt ut tillgång till skadlig programvara på ett ryskt hackingsforum, till priser som börjar på $ 4000 i tre månaders åtkomst.
Det är upp till kunderna själva att sprida skadlig kod, som kan cirkuleras via skadliga länkar i e-postmeddelanden och SMS-meddelanden.
Så för att undvika det, bör du hålla fast vid att bara ladda ner Android-appar från den officiella Google Play Store, som filtrerar bort skadliga produkter.
Google har ännu inte kommenterat ThreatFabrics rapport.
Företagets autentiseringsapp är dock inte den enda 2FA-produkten som påverkas.
Genom att missbruka tillgänglighetstjänstens rättigheter kan skadlig programvara skicka information från vilken app som helst på smarttelefonen, säger van Diemen.
