相信大家都已經習慣利用手機進行各種網上理財或管理不同帳號,為了進一步加強保安,不少人都會使用 Google Authenticator 多重認證功能。不過近日網路安全公司 ThreatFabric 發現了一款名為 Cerberus 的惡意程式,它是有史以來首款能夠成功竊取 Google Authenticator 應用程式所產生的 2FA 代碼功能的 Android 惡意軟件。雖然該軟件目前正在開發過程中,目前沒有證據證據表示已用於實際攻擊。
研究人員表示,該惡意程式混合了銀行木馬和遠端存取木馬(RAT)特性。一旦Android 用戶被感染,駭客便會使用該惡意軟件的銀行木馬功能來竊取銀行應用程式的帳號。ThreatFabric 的報告指出,Cerberus 是在 6 月底首次發現,取代了 Anubis 木馬,並逐漸成為一種主要的惡意軟件即服務產品。報告同時指出,Cerberus 在 2020 年 1 月中進行了更新,新版本引入了從 Google Authenticator 竊取 2FA 以及熒幕鎖定 PIN 碼和滑動方式的功能。
即使用戶帳戶受到 2FA(Google Authenticator)保護,惡意程式 Cerberus 可以通過 RAT 功能手動連接到使用者設備。然後,駭客將打開 Authenticator 應用程式,產生一次性密碼,再截取這些代碼的熒幕截圖,然後存取該用戶的帳戶。來自 Nightwatch Cybersecurity 的研究人員深入研究導致這種攻擊的根本原因,即 Authenticator 應用程式首先允許對其內容進行熒幕截圖。Android 系統允許應用程式阻止其他應用程式截屏其內容,從而保護其使用者。這是通過在應用程式的配置中添加 FLAG_SECURE 選項來完成的。Google 並未將此標記添加到 Authenticator 之中,儘管該應用通常處理一些非常敏感的內容。
