Ein Android-Malware-Stamm, der an Hacker verkauft wird, hat eine beängstigende Fähigkeit erlangt: Er kann jetzt versuchen, Zwei-Faktor-Codes aus der Google Authenticator-App zu stehlen.
Das niederländische Sicherheitsunternehmen ThreatFabric, das erstmals von ZDNet gemeldet wurde, entdeckte die Funktion in einer neuen Variante des Cerberus-Android-Trojaners, mit dem der Zugriff auf die Bankkonten von Personen durch die Entführung ihrer Smartphones gestohlen werden soll.
Bei erfolgreicher Installation kann Cerberus Ihre Tastenanschläge protokollieren und alle Ihre SMS-Nachrichten abrufen.
Darüber hinaus können Sie Ihr Passwort an eine Mobile-Banking-App übergeben, indem Sie ein falsches Anmeldefenster auf Ihrem Telefon erstellen.
Manchmal reicht es jedoch nicht aus, ein Passwort zu sammeln, um in Ihre Internetkonten einzudringen.
Zunehmend schützen Benutzer ihre wichtigsten Online-Eigenschaften, indem sie dem Anmeldevorgang einen zweiten Schritt hinzufügen.
Bei dieser Einrichtung, die als Zwei-Faktor-Authentifizierung bezeichnet wird, muss jeder, der sich anmeldet, auch einen speziellen Passcode eingeben, der auf dem Smartphone des Kontoinhabers generiert wird, um vollen Zugriff zu erhalten.
Google Authenticator gehört zu den Sicherheits-Apps, mit denen spezielle Passcodes für Zwei-Faktor-Authentifizierungssysteme generiert werden können.
Es scheint jedoch, dass die Entwickler von Cerberus daran arbeiten, die 2FA-Codes aus der App selbst zu stehlen.
"Wenn die App ausgeführt wird, kann der Trojaner den Inhalt der Benutzeroberfläche abrufen und an den C2-Server (Command-and-Control) senden", schrieb ThreatFabric diese Woche in einem Bericht.
"Wir können erneut ableiten, dass diese Funktionalität verwendet wird, um Authentifizierungsdienste zu umgehen, die auf (Einmalpass-) Codes basieren."
Glücklicherweise hat die Funktion eine große Einschränkung: Der Besitzer des infizierten Android-Telefons muss dazu verleitet werden, der Malware Zugriff auf die Benutzeroberfläche der Google Authenticator-App zu gewähren.
Um dies zu erreichen, gibt Cerberus vor, eine App wie „Flash Player“ zu sein, und fordert den Benutzer auf, ihm die Berechtigungen für den Barrierefreiheitsdienst von Android zu erteilen, die Menschen mit Behinderungen bei der Verwendung ihres Telefons helfen sollen.
Dieselben Berechtigungen können jedoch sehr mächtig sein und in den falschen Händen den Weg für eine böswillige Geräteübernahme ebnen.
"Solange das Opfer es nicht gewährt hat, wird der Trojaner danach fragen", sagte Gaetan van Diemen, General Manager von ThreatFabric, Daxdi in einer E-Mail.
"Nach der Gewährung kann der Bot alle Informationen auf dem Bildschirm des infizierten Geräts lesen / visualisieren, aber auch auf diesen Inhalt klicken und mit ihm interagieren."
Um die Google Authenticator-Codes zu stehlen, startet der Cerberus-Trojaner einfach die App und kopiert den Inhalt und lädt ihn auf den Befehls- und Kontrollserver der Malware hoch, fügte er hinzu.
Die Funktion zum Stehlen von Google Authenticator-Code muss von den Entwicklern von Cerberus noch nicht beworben werden.
"Daher glauben wir, dass sich diese Variante von Cerberus noch in der Testphase befindet, aber möglicherweise bald veröffentlicht wird", warnte ThreatFabric in seinem Bericht.
Seit letztem Juni vermieten die Entwickler von Cerberus den Zugriff auf die Malware in einem russischen Hacking-Forum zu Preisen ab 4.000 US-Dollar für drei Monate Zugriff.
Es liegt an den Kunden selbst, die Malware zu verbreiten, die über schädliche Links in E-Mails und SMS-Nachrichten verbreitet werden kann.
Um dies zu vermeiden, sollten Sie nur Android-Apps aus dem offiziellen Google Play Store herunterladen, der schädliche Produkte herausfiltert.
Google selbst hat den Bericht von ThreatFabric noch nicht kommentiert.
Die Authentifizierungs-App des Unternehmens ist jedoch nicht das einzige betroffene 2FA-Produkt.
Durch den Missbrauch der Accessibility Service-Berechtigungen könnte die Malware Informationen aus jeder App auf dem Smartphone stehlen, sagte van Diemen.
