上月,总部位于阿姆斯特丹的网络安全公司ThreatFabric发现了名为Cerberus的恶意程序。它是有史以来首款能够成功窃取GoogleAuthenticator应用程序生成的2FA(两因素身份验证)代码功能的Android恶意软件。该软件目前正在开发过程中,目前没有证据表明已用于实际攻击。
研究人员表示,该恶意程序混合了银行木马和远程访问木马(RAT)特性。一旦Android用户被感染,黑客便会使用该恶意软件的银行木马功能来窃取移动银行应用程序的帐号凭据。
ThreatFabric的报告指出,远程访问特洛伊木马(Cerberus)是在6月底首次发现的,它取代了Anubis木马,并逐渐成为一种主要的恶意软件即服务产品。
报告指出,Cerberus在2020年1月中旬进行了更新,新版本引入了从GoogleAuthenticator窃取2FA令牌以及设备屏幕锁定PIN码和滑动方式的功能。
即使用户账户受到2FA(GoogleAuthenticator生成)保护,恶意程序Cerberus可以通过RAT功能手动连接到用户设备。然后,黑客将打开Authenticator应用程序,生成一次性密码,截取这些代码的屏幕截图,然后访问该用户的帐户。
安全团队表示:“启用窃取设备的屏幕锁定凭据(PIN和锁定模式)的功能由一个简单的覆盖层提供支持,该覆盖层将要求受害者解锁设备。从RAT的实现中,我们可以得出结论,建立此屏幕锁定凭据盗窃是为了使参与者能够远程解锁设备,以便在受害者不使用设备时进行欺诈。这再次显示了罪犯创造成功所需的正确工具的创造力。”
在本周发表的研究中,来自NightwatchCybersecurity的研究人员深入研究了导致这种攻击的根本原因,即Authenticator应用程序首先允许对其内容进行屏幕截图。
Android操作系统允许应用程序阻止其他应用程序截屏其内容,从而保护其用户。这是通过在应用程序的配置中添加“FLAG_SECURE”选项来完成的。Google并未将此标记添加到Authenticator的应用中,尽管该应用通常处理一些非常敏感的内容。
Nightwatch研究人员表示,谷歌早在2014年的10月就收到了相关的问题报告,当时有用户在GitHub上注意到这个错误配置。2017年,Nightwatch在2017年的时候又向谷歌的安全团队报告了相同的问题,此外还发现微软的Authenticator同样存在能够截图问题。