Häkkeritele müüdav Androidi pahavara tüvi on omandanud hirmutava võime: see võib nüüd proovida Google Authenticatori rakendusest varastada kahefaktorilisi koode.
Esmakordselt teatas ZDNet, Hollandi turvafirma ThreatFabric avastas selle Cerberus Android Trooja uue versiooni funktsiooni, mille eesmärk on varastada juurdepääs inimeste pangakontodele nende kaaperdamisega.
Eduka installimise korral suudab Cerberus logida teie klahvivajutused ja koguda kõik teie SMS-sõnumid.
Lisaks võib see teid meelitada oma parooli mobiilipanga rakendusele üle andma, luues oma telefoni võltsitud sisselogimisakna.
Kuid mõnikord ei piisa parooli kogumisest Interneti-kontole sissemurdmiseks.
Kasutajad kaitsevad üha enam oma kõige olulisemaid veebiomadusi, lisades sisselogimisprotsessi teise sammu.
See seadistus, mida nimetatakse kahefaktoriliseks autentimiseks, nõuab, et igaüks, kes sisse logib, sisestaks täieliku juurdepääsu saamiseks ka kontoomaniku nutitelefonis loodud spetsiaalse pääsukoodi.
Google Authenticator on üks turberakendustest, mis suudab luua kahefaktoriliste autentimissüsteemide jaoks kasutatavaid spetsiaalseid pääsukoode.
Kuid näib, et Cerberuse loojad töötavad 2FA-koodide hankimiseks rakendusest ise.
"Kui rakendus töötab, saab troojalane saada liidese sisu ja saata selle C2 (käskude ja juhtimiste) serverisse," kirjutas ThreatFabric selle nädala aruandes.
"Veel kord võime järeldada, et seda funktsionaalsust kasutatakse (ühekordse läbipääsu) koodidele tuginevate autentimisteenuste ümbersõitmiseks."
Õnneks on võimalusel suur piirang: nakatunud Android-telefoni omanik tuleb petta andma pahavarale juurdepääs rakenduse Google Authenticator liidesele.
Selle eemaldamiseks teeskleb Cerberus ennast sellisena rakenduseks nagu „Flash Player” ja nõuab seejärel, et kasutaja annaks sellele Androidi juurdepääsetavuse teenuse privileegid, mis on loodud selleks, et aidata puuetega inimestel oma telefoni kasutada.
Samas võivad samad privileegid olla üsna võimsad ja valedes kätes võivad sillutada teed pahatahtliku seadme ülevõtmisele.
"Kuni ohver pole seda andnud, küsib Trooja seda," ütles ThreatFabricu peadirektor Gaetan van Diemen e-kirjaga PCMagile.
"Kui robot on selle saanud, saab ta lugeda / visualiseerida kogu nakatunud seadme ekraanil olevat teavet, kuid ka sellel sisul klõpsata ja sellega suhelda."
Google Authenticatori koodide varastamiseks käivitab Cerberus Trooja lihtsalt rakenduse, seejärel kopeerib ja laadib sisu üles pahavara käsu- ja kontrolliserverisse, lisas ta.
Praegu pole Cerberuse loojad veel Google Authenticatori koodi varastamise võimalust reklaaminud.
"Seetõttu usume, et see Cerberuse variant on veel testimisfaasis, kuid võib varsti välja tulla," hoiatas ThreatFabric oma raportis.
Alates eelmise aasta juunist on Cerberuse loojad rentinud Vene häkkimisfoorumil juurdepääsu pahavarale hinnaga alates 4000 dollarist kolme kuu jooksul.
Kliendid ise peavad levitama pahavara, mida saab levitada pahatahtlike linkide kaudu e-kirjades ja SMS-ides.
Nii et selle vältimiseks peaksite jääma ainult Androidi rakenduste allalaadimiseks ametlikust Google Play poest, mis filtreerib välja pahatahtlikud tooted.
Google ise pole veel ThreatFabricu aruannet kommenteerinud.
Kuid ettevõtte autentimisrakendus pole ainus mõjutatud 2FA toode.
Juurdepääsuteenuse privileege kuritarvitades võib pahavara koguda teavet nutitelefoni mis tahes rakendusest, ütles van Diemen.
