10/03/20
В прошлом месяце специалисты компании ThreatFabric обнаружили первое в истории вредоносное ПО для похищения кодов двухфакторной аутентификации, генерируемых Google Authenticator.
Исследователи назвали вредонос Cerberus, и его функция похищения кодов все еще находится в стадии разработки и пока не использовалась в реальных атаках.
Cerberus представляет собой гибрид банковского трояна и трояна для удаленного доступа (RAT) для Android-устройств. После заражения устройства с помощью функций банковского трояна вредонос похищает банковские данные. В случае, если учетная запись жертвы защищена с помощью механизма двухфакторной аутентификации приложения Google Authenticator, Cerberus выполняет роль RAT и предоставляет своим операторам удаленный доступ к устройству. Злоумышленники открывают Google Authenticator, генерируют одноразовый код, делают его скриншот, а затем получают доступ к учетной записи жертвы.
Cerberus – не только первое в истории вредоносное ПО с функциями похищения одноразовых кодов двухфакторной аутентификации. Троян использует для этого очень простую технику – создает скриншот интерфейса Google Authenticator.
Исследователи из Nightwatch Cybersecurity решили изучить , что именно в Google Authenticator делает возможным функции Cerberus, в частности функцию скриншотов. ОС Android позволяет приложениям защищать своих пользователей от возможности других приложений делать скриншоты их контента – для этого в настройки приложения должна быть добавлена опция FLAG_SECURE. Как оказалось, Google не добавила этот флаг в Google Authenticator.
По словам исследователей Nightwatch Cybersecurity, Google могла исправить эту проблему еще в 2014 году, после того как о ней написал один из пользователей GitHub, но не сделала этого. Проблема осталась неисправленной и в 2017 году, когда специалисты Nightwatch Cybersecurity сообщили о ней компании, и остается таковой по сей день.
