Исследователи кибербезопасности сообщают, что описанный летом Android-банкер Cerberus умеет красть коды двухфакторной аутентификации, сгенерированные приложением Google Authenticator.
Приложение Google Authenticator было запущено в 2010 году как альтернатива одноразовым паролям через SMS. Коды Google Authenticator генерируются на самом устройстве пользователя и не передаются через незащищенные мобильные сети, поэтому учетные записи, которые используют Google Authenticator для 2ФА, считаются более защищенными.
Когда запущено приложение Authenticator, троян способен извлечь содержимое интерфейса и отправить его на свой управляющий сервер.
Вредонос Cerberus был обнаружен ИБ-специалистами летом 2019 года.
Эксперты из Threat Fabric проанализировали новый интересный банковский троян для мобильной операционной системы Android. Вредонос получил имя Cerberus, а его автор сдает свою разработку в аренду (схема malware-as-a-service). Cerberus представляет собой троян удаленного доступа (RAT), разработанный с нуля — без частичного или полного использования кода другой вредоносной программы. Вероятно, по этой причине, ему удавалось два года (!) избегать детектирования. Разленились нынче что хакеры, что охотники на их детища…
В настоящее время Cerberus существенно «отъелся» и использует функции, которые обычно присутствуют в троянах удаленного доступа (RAT). Эти функции позволяют операторам Cerberus удаленно подключаться к зараженному устройству, изменять настройки девайса, устанавливать и удалять приложения, использовать учетные данные жертвы для доступа к онлайн-банкингу, а также похищать одноразовые пароли из Google Authenticator для обхода двухфакторной аутентификации (если таковая имеется).
Последняя функция пока находится на этапе тестирования и вероятно в будущем будет использоваться, чтобы обходить 2ФА и для других типов учетных записей, включая почтовые ящики, аккаунты социальных сетей и.т.д.
Читайте также на АКБ:
Неудаляемый троян Xhelper вернулся и заразил Google Play