W kontekście zabezpieczania procesów uwierzytelniania przez wszystkie przypadki odmienia się aktualnie przede wszystkim dwa mechanizmy: logowanie wieloskładnikowe (najczęściej opierające się na dwóch składnikach) oraz biometrię. Sprzyja temu powszechność urządzeń mobilnych, które wykorzystywane są w obu przypadkach. Niestety, nie ma co liczyć na to, że wdrożenie tego typu zabezpieczeń przełoży się od razu na dramatyczne zwiększenie bezpieczeństwa. Zwłaszcza gdy do czynienia mamy z takim szkodnikiem jak Cerberus.
Cerberus to znany powszechnie trojan wyspecjalizowany w wykradaniu danych logowania do serwisów bankowych. W ostatnim czasie o szeroko zakrojonej kampanii z jego użyciem informował polski CERT. Pod koniec zeszłego roku atakujący, wykorzystując phishing (podszywano się pod firmę kurierską InPost), ubiegali się o dostęp do ułatwień dostępu na smartfonach z Androidem, aby następnie szkodnik samodzielnie mógł eskalować swoje uprawnienia. Popularność Cerberusa i jego sprawny rozwój wynika m.in. z tego, że jest świadczony jako komercyjna usługa.
Dziś wiemy już, że Cerberusowi wyrosła kolejna głowa, która stanowi odpowiedź na wspomniane wcześniej trendy w zabezpieczeniach w zakresie mechanizmów logowania i uwierzytelniania. Twórcy złośliwego programu wzbogacili go bowiem o funkcję wykradania danych z Google Authenticatora, a zatem jednej z najpopularniejszych aplikacji służących do logowania dwustopniowego. Google opracowało Authenticatora, by wyeliminować konieczność przekazywania drugiego składnika logowania za pośrednictwem SMS-ów, co miało utrudnić jego przechwycenie.
Niestety, dziś wiemy już, że także korzystanie z aplikacji wcale nie musi być bezpieczniejsze niż poleganie na SMS-ach. Jak zatem Cerberus przejmuje kody generowane w Google Authenticatorze? Kluczowe są wspomniane już uprawnienia związane z ułatwieniami dostępu. Dzięki nim program może odczytywać informacje z interfejsów innych aplikacji. Z reguły możliwości te wykorzystywane są np. w celu przetwarzania tekstu na mowę, co ułatwia korzystanie ze urządzenia osobą niewidomym i słabo widzącym, ale jak widać, mogą także służyć do kradzieży danych.
W rezultacie Cerberus zyskał właśnie nowy potężny oręż w walce o nasze dane logowania. Co prawda nie jest to pierwszy przypadek, kiedy złośliwemu oprogramowaniu udaje się przejmować drugi składnik logowania, na łamach naszego bloga wspominaliśmy choćby u pomysłowym narzędziu Modlishka. Cerberus to jednak pierwszy znany przypadek, kiedy udało się przechwycić dane logowania z aplikacji uwierzytelniającej. I to nie byle jakiej, mowa wszak o aplikacji dostarczanej przez Google, która jest obok analogicznej propozycji Microsoftu najpopularniejszym programem tego typu.
Zobacz też: Modlishka: polskie narzędzie phishingowe omija weryfikację dwustopniową
