首款破解2FA的Android惡意程序曝光:可竊取銀行帳號
上月,總部位於阿姆斯特丹的網絡安全公司ThreatFabric發現了名為Cerberus的惡意程序。它是有史以來首款能夠成功竊取Google Authenticator應用程序生成的2FA(兩因素身份驗證)代碼功能的Android惡意軟件。該軟件目前正在開發過程中,目前沒有證據表明已用於實際攻擊。
研究人員表示,該惡意程序混合了銀行木馬和遠程訪問木馬(RAT)特性。一旦Android用戶被感染,黑客便會使用該惡意軟件的銀行木馬功能來竊取移動銀行應用程序的帳號憑據。
ThreatFabric的報告指出,遠程訪問特洛伊木馬(Cerberus)是在6月底首次發現的,它取代了Anubis木馬,並逐漸成為一種主要的惡意軟件即服務產品。
報告指出,Cerberus在2020年1月中旬進行了更新,新版本引入了從Google Authenticator竊取2FA令牌以及設備屏幕鎖定PIN碼和滑動方式的功能。
即使用戶賬戶受到2FA(Google Authenticator生成)保護,惡意程序Cerberus可以通過RAT功能手動連接到用戶設備。然後,黑客將打開Authenticator應用程序,生成一次性密碼,截取這些代碼的屏幕截圖,然後訪問該用戶的帳戶。
安全團隊表示:“啟用竊取設備的屏幕鎖定憑據(PIN和鎖定模式)的功能由一個簡單的覆蓋層提供支持,該覆蓋層將要求受害者解鎖設備。從RAT的實現中,我們可以得出結論,建立此屏幕鎖定憑據盜竊是為了使參與者能夠遠程解鎖設備,以便在受害者不使用設備時進行欺詐。這再次顯示了罪犯創造成功所需的正確工具的創造力。”
在本週發表的研究中,來自Nightwatch Cybersecurity的研究人員深入研究了導致這種攻擊的根本原因,即Authenticator應用程序首先允許對其內容進行屏幕截圖。
Android操作系統允許應用程序阻止其他應用程序截屏其內容,從而保護其用戶。這是通過在應用程序的配置中添加“ FLAG_SECURE”選項來完成的。Google並未將此標記添加到Authenticator的應用中,儘管該應用通常處理一些非常敏感的內容。
Nightwatch研究人員表示,谷歌早在2014年的10月就收到了相關的問題報告,當時有用戶在GitHub上註意到這個錯誤配置。2017年,Nightwatch在2017年的時候又向谷歌的安全團隊報告了相同的問題,此外還發現微軟的Authenticator同樣存在能夠截圖問題。