https://www.zdnet.com/article/android-malware-can-steal-google-authenticator-2fa-codes/перевод
Вредоносное ПО для Android может украсть коды двухфакторной аутентификации Google AuthenticatorНовая версия трояна Cerberus для Android сможет красть одноразовые коды, сгенерированные приложением Google Authenticator, и обходить защиту 2FA.
Исследователи в области безопасности говорят, что вредоносное ПО для Android теперь может извлекать и красть одноразовые коды доступа (OTP), созданные с помощью мобильного приложения Google Authenticator, которое используется в качестве двухфакторной аутентификации (2FA) для многих аккаунтов.
Google запустил мобильное приложение Authenticator в 2010 году. Приложение работает, генерируя уникальные коды длиной от шести до восьми цифр, которые пользователи должны вводить в формах входа в систему при попытке получить доступ к аккаунтам.
Google запустил Authenticator в качестве альтернативы одноразовым паролям на основе SMS. Поскольку коды Google Authenticator генерируются на смартфоне пользователя и никогда не проходят через небезопасные мобильные сети, аккаунты, использующие 2FA, считаются более безопасными, чем те, которые защищены SMS кодами.
CERBERUS ПОЛУЧАЕТ ВОЗМОЖНОСТЬ КРАЖИ ОДНОРАЗОВЫХ ПАРОЛЕЙ
В отчете, опубликованном на этой неделе, исследователи безопасности из голландской компании по обеспечению мобильной безопасности ThreatFabric говорят, что они обнаружили возможность кражи OTP Authenticator в последних образцах Cerberus, относительно нового трояна для Android, запущенного в июне 2019 года.
https://www.threatfabric.com/blogs/cerberus-a-new-banking-trojan-from-the-underworld.html«Злоупотребляя привилегиями Accessibility, троянец теперь может также красть коды 2FA из приложения Google Authenticator», - заявили в команде ThreatFabric.
«Когда приложение [Authenticator] запущено, троянец может получить содержимое интерфейса и отправить его на управляющий сервер», - добавили они.
ThreatFabric заявил, что эта новая функция еще не реализована в версии Cerberus, рекламируемой и продаваемой на хакерских форумах.
«Мы считаем, что этот вариант Cerberus все еще находится на стадии тестирования, но вскоре может быть выпущен», - заявили исследователи.
РАЗРАБОТАНА ФУНКЦИЯ ОБХОДА 2FA НА БАНКОВСКИХ СЧЕТАХ
В целом, команда ThreadFabric отмечает, что текущие версии банковского трояна Cerberus очень продвинуты. Они говорят, что Cerberus теперь включает в себя такой же набор функций, который обычно встречается в троянах удаленного доступа (RAT), превосходном классе вредоносных программ.
Эти функции RAT позволяют операторам Cerberus удаленно подключаться к зараженному устройству, использовать банковские учетные данные владельца для доступа к учетной записи онлайн-банкинга, а затем использовать функцию кражи OTP Authenticator для обхода защиты 2FA в учетной записи - если она есть.
Исследователи ThreatFabric считают, что троян Cerberus, скорее всего, будет использовать эту функцию для обхода защиты 2FA на основе Authenticator для учетных записей онлайн-банкинга, однако ничто не мешает хакерам обойти 2FA для других типов учетных записей. Сюда входят почтовые ящики, репозитории кодирования, учетные записи в социальных сетях, интрасети и другие.
Исторически сложилось так, что очень немногие группы хакеров и еще меньшее количество вредоносных программ [ 1 , 2 ] когда-либо имели возможность обходить многофакторные (MFA) решения аутентификации.
Если эта функция будет работать должным образом и будет поставляться с Cerberus, это поместит банковский троян в элитную категорию вредоносных программ.
Новые возможности Cerberus подробно описаны в отчете ThreatFabric, который обобщает все недавние обновления, связанные с удаленным доступом, обнаруженные в штаммах вредоносных программ Android. Отчет содержит дополнительную информацию о других вредоносных операциях для Android, таких как Gustuff, Hydra, Ginp и Anubis.
https://www.threatfabric.com/blogs/2020_year_of_the_rat.html