上個(gè)月，總部位于阿姆斯特丹的網(wǎng)絡(luò )安全公司ThreatFabric發(fā)現了一個(gè)名為Cerberus的惡意程序。這是有史以來(lái)第一個(gè)成功竊取Google的Authenticator應用程序生成的2FA(兩因素身份驗證)代碼功能的Android惡意軟件。該軟件目前正在開(kāi)發(fā)中，目前沒(méi)有證據表明該軟件曾在實(shí)際攻擊中使用過(guò)。

研究人員說(shuō)，該惡意程序結合了銀行木馬和遠程訪(fǎng)問(wèn)木馬(RAT)的特征。一旦Android用戶(hù)被感染，黑客便會(huì )使用惡意軟件的銀行木馬功能來(lái)竊取移動(dòng)銀行應用程序的帳戶(hù)憑據。

ThreatFabric報告指出，6月底首次發(fā)現的遠程訪(fǎng)問(wèn)木馬取代了Anubis木馬，成為一種主要的惡意軟件即服務(wù)產(chǎn)品。

報告稱(chēng)，Cerberus于2020年1月中旬進(jìn)行了更新，該設備具有從Google Authenticator竊取2FA令牌以及設備屏幕鎖定PIN和刷卡功能的新版本。

即使用戶(hù)的帳戶(hù)受2FA(Google身份驗證器生成)的保護，也可以通過(guò)RAT功能將惡意的小鹿手動(dòng)連接到用戶(hù)的設備。然后，黑客打開(kāi)Authenticator應用程序，生成一次性密碼，獲取這些代碼的屏幕快照，然后訪(fǎng)問(wèn)用戶(hù)的帳戶(hù)。

安全團隊說(shuō)：“啟用被盜設備的屏幕鎖定憑證(PIN和鎖定模式)的能力由一個(gè)簡(jiǎn)單的覆蓋層來(lái)支持，這將需要受害者解鎖設備。”從RAT實(shí)施中，我們可以得出結論，此屏幕鎖定憑證盜竊的建立是為了使參與者能夠遠程解鎖設備，以便受害者可以在不使用設備時(shí)進(jìn)行欺詐。這再次顯示了罪犯創(chuàng )造創(chuàng )造成功的正確工具的創(chuàng )造力。“

在本周發(fā)布的一項研究中，來(lái)自Nightwatch Cyber??security的研究人員深入研究了攻擊的根本原因，其中Authenticator應用程序首先允許其內容的屏幕截圖。

Android操作系統通過(guò)允許應用程序阻止其他應用程序捕獲其內容來(lái)保護其用戶(hù)。這是通過(guò)在應用程序的配置中添加“ FLAG_SECURE”選項來(lái)完成的。Google不會(huì )將此標簽添加到App Authenticator中，盡管該應用通常會(huì )處理一些非常敏感的內容。

Nightwatch研究人員說(shuō)，Google早在2014年10月就收到該問(wèn)題的報告，當時(shí)用戶(hù)注意到GitHub上的配置錯誤。2017年，Nightwatch在2017年向Google的安全團隊報告了相同的問(wèn)題，并發(fā)現微軟的Authenticator也存在啟用屏幕快照的問(wèn)題。