上个月,总部位于阿姆斯特丹的网络安全公司ThreatFabric发现了一个名为Cerberus的恶意程序。这是有史以来第一个成功窃取Google的Authenticator应用程序生成的2FA(两因素身份验证)代码功能的Android恶意软件。该软件目前正在开发中,目前没有证据表明该软件曾在实际攻击中使用过。
研究人员说,该恶意程序结合了银行木马和远程访问木马(RAT)的特征。一旦Android用户被感染,黑客便会使用恶意软件的银行木马功能来窃取移动银行应用程序的帐户凭据。
ThreatFabric报告指出,6月底首次发现的远程访问木马取代了Anubis木马,成为一种主要的恶意软件即服务产品。
报告称,Cerberus于2020年1月中旬进行了更新,该设备具有从Google Authenticator窃取2FA令牌以及设备屏幕锁定PIN和刷卡功能的新版本。
即使用户的帐户受2FA(Google身份验证器生成)的保护,也可以通过RAT功能将恶意的小鹿手动连接到用户的设备。然后,黑客打开Authenticator应用程序,生成一次性密码,获取这些代码的屏幕快照,然后访问用户的帐户。
安全团队说:“启用被盗设备的屏幕锁定凭证(PIN和锁定模式)的能力由一个简单的覆盖层来支持,这将需要受害者解锁设备。”从RAT实施中,我们可以得出结论,此屏幕锁定凭证盗窃的建立是为了使参与者能够远程解锁设备,以便受害者可以在不使用设备时进行欺诈。这再次显示了罪犯创造创造成功的正确工具的创造力。“
在本周发布的一项研究中,来自Nightwatch Cybersecurity的研究人员深入研究了攻击的根本原因,其中Authenticator应用程序首先允许其内容的屏幕截图。
Android操作系统通过允许应用程序阻止其他应用程序捕获其内容来保护其用户。这是通过在应用程序的配置中添加“ FLAG_SECURE”选项来完成的。Google不会将此标签添加到App Authenticator中,尽管该应用通常会处理一些非常敏感的内容。
Nightwatch研究人员说,Google早在2014年10月就收到该问题的报告,当时用户注意到GitHub上的配置错误。2017年,Nightwatch在2017年向Google的安全团队报告了相同的问题,并发现微软的Authenticator也存在启用屏幕快照的问题。