Банковский троянец Cerberus был обновлен с помощью функции RAT и теперь способен красть коды двухфакторной аутентификации (2FA) жертв Google Authenticator, которые используются в качестве дополнительного уровня безопасности при входе в онлайн-аккаунты.
Google Authenticator – это альтернатива Google для двухфакторной аутентификации на основе SMS, которая использует соединение для передачи данных для отправки одноразового пароля (OTP) через текстовые сообщения, на что поисковый гигант хмурится, видя, что их можно перехватить, потому что они отправляются с использованием внешнего носителя. сеть.
Хотя использование приложения для локальной генерации кодов 2FA рассматривается как более безопасная альтернатива кодам, доставляемым по SMS, исследователи безопасности из компании по анализу мобильных угроз ThreatFabric обнаружили обновленный образец банковского троянца Cerberus, который теперь также может регистрировать и красть информацию из Google Authenticator.
Это может привести к тому, что в ближайшем будущем двухфакторная аутентификация на основе приложений будет иметь тот же уровень безопасности, что и двухфакторная аутентификация на основе SMS, поскольку в обоих случаях коды могут быть украдены.
Злоупотребление аутентификатором Google
Вредоносное ПО для Android, которое было впервые обнаружено в июне 2019 года как обычный банковский троянец, теперь крадет коды двухфакторной аутентификации Google Authenticator, злоупотребляя привилегиями специальных возможностей Android.
«Когда приложение запущено, троянец может получить содержимое интерфейса и отправить его на сервер C2», – говорится в отчете. «Еще раз, мы можем сделать вывод, что эта функция будет использоваться для обхода служб аутентификации, которые полагаются на коды OTP».
Эти украденные коды можно использовать для обхода дополнительного уровня безопасности 2FA в онлайн-сервисах, таких как банки, почтовые службы, приложения для обмена сообщениями и социальные сети, и это лишь некоторые из них.
Модуль 2FA Cerberus для кражи кода – не первый из обнаруженных на данный момент вредоносных программ, поскольку ESET и Symantec обнаружили предыдущие случаи вредоносного ПО, способного на этот трюк . Однако эти штаммы были нацелены на двухфакторную аутентификацию на основе SMS, чтобы обойти защиту 2FA.
Полностью рабочий модуль RAT
Как также обнаружили исследователи безопасности ThreatFabric, Cerberus теперь имеет основанные на TeamViewer возможности троянских программ удаленного доступа (RAT), предназначенные для обеспечения своих операторов полной функциональностью RAT.
«Служба RAT может просматривать файловую систему устройства и загружать ее содержимое. Кроме того, она также может запускать TeamViewer и настраивать подключения к нему, обеспечивая злоумышленникам полный удаленный доступ к устройству», – сообщает ThreatFabric.
Этот новый модуль RAT может использоваться операторами Cerberus для управления приложениями на зараженных устройствах Android, изменения настроек устройства, а также для использования любого из установленных приложений, как и владелец устройства.
Образец вредоносного ПО для Android, который они проанализировали, также имеет функцию захвата блокировки экрана, которая использует наложения, что позволяет злоумышленникам использовать встроенный RAT для удаленной разблокировки Android-устройств своих жертв.
«Из реализации RAT мы можем сделать вывод, что эта кража учетных данных с блокировкой экрана была построена для того, чтобы участники могли удаленно разблокировать устройство для совершения мошенничества, когда жертва не использует устройство», – добавляет ThreatFabric. «Это еще раз демонстрирует творческий потенциал преступников в создании правильных инструментов для достижения успеха».
Пока отчет не был опубликован, ThreatFabric не видела попыток рекламировать эти новые возможности на подпольных форумах или каналах YouTube, на которых распространяется Cerberus.
Это намекает на то, что обновленное вредоносное ПО все еще проходит стадию тестирования, хотя исследователи предполагают, что оно «может быть скоро выпущено».
«Имея исчерпывающий целевой список, включающий учреждения со всего мира, в сочетании с новой возможностью RAT, Cerberus представляет собой серьезный риск для финансовых компаний, предлагающих услуги онлайн-банкинга», – добавляет ThreatFabric.
Полный отчет, доступный здесь, также содержит обновленную информацию о вредоносных программах для банковских операций Gustuff , Hydra , Ginp и Anubis для Android, а также список индикаторов компрометации (IOC) для всех проанализированных образцов вредоносных программ.
По материалам – https://bdroid.ru/