TeamQuest Blog

Ewolucja Cerberusa – trojan bankowy umie już wykradać dane Google Authenticatora

Ewolucja Cerberusa – trojan bankowy umie już wykradać dane Google Authenticatora

Maciej Olanicki , 27.02.2020 r.

W kontekście zabezpieczania procesów uwierzytelniania przez wszystkie przypadki odmienia się aktualnie przede wszystkim dwa mechanizmy: logowanie wieloskładnikowe (najczęściej opierające się na dwóch składnikach) oraz biometrię. Sprzyja temu powszechność urządzeń mobilnych, które wykorzystywane są w obu przypadkach. Niestety, nie ma co liczyć na to, że wdrożenie tego typu zabezpieczeń przełoży się od razu na dramatyczne zwiększenie bezpieczeństwa. Zwłaszcza gdy do czynienia mamy z takim szkodnikiem jak Cerberus.

Cerberus to znany powszechnie trojan wyspecjalizowany w wykradaniu danych logowania do serwisów bankowych. W ostatnim czasie o szeroko zakrojonej kampanii z jego użyciem informował polski CERT. Pod koniec zeszłego roku atakujący, wykorzystując phishing (podszywano się pod firmę kurierską InPost), ubiegali się o dostęp do ułatwień dostępu na smartfonach z Androidem, aby następnie szkodnik samodzielnie mógł eskalować swoje uprawnienia. Popularność Cerberusa i jego sprawny rozwój wynika m.in. z tego, że jest świadczony jako komercyjna usługa.

Dziś wiemy już, że Cerberusowi wyrosła kolejna głowa, która stanowi odpowiedź na wspomniane wcześniej trendy w zabezpieczeniach w zakresie mechanizmów logowania i uwierzytelniania. Twórcy złośliwego programu wzbogacili go bowiem o funkcję wykradania danych z Google Authenticatora, a zatem jednej z najpopularniejszych aplikacji służących do logowania dwustopniowego. Google opracowało Authenticatora, by wyeliminować konieczność przekazywania drugiego składnika logowania za pośrednictwem SMS-ów, co miało utrudnić jego przechwycenie.

Niestety, dziś wiemy już, że także korzystanie z aplikacji wcale nie musi być bezpieczniejsze niż poleganie na SMS-ach. Jak zatem Cerberus przejmuje kody generowane w Google Authenticatorze? Kluczowe są wspomniane już uprawnienia związane z ułatwieniami dostępu. Dzięki nim program może odczytywać informacje z interfejsów innych aplikacji. Z reguły możliwości te wykorzystywane są np. w celu przetwarzania tekstu na mowę, co ułatwia korzystanie ze urządzenia osobą niewidomym i słabo widzącym, ale jak widać, mogą także służyć do kradzieży danych.

W rezultacie Cerberus zyskał właśnie nowy potężny oręż w walce o nasze dane logowania. Co prawda nie jest to pierwszy przypadek, kiedy złośliwemu oprogramowaniu udaje się przejmować drugi składnik logowania, na łamach naszego bloga wspominaliśmy choćby u pomysłowym narzędziu Modlishka. Cerberus to jednak pierwszy znany przypadek, kiedy udało się przechwycić dane logowania z aplikacji uwierzytelniającej. I to nie byle jakiej, mowa wszak o aplikacji dostarczanej przez Google, która jest obok analogicznej propozycji Microsoftu najpopularniejszym programem tego typu.

Zobacz też: Modlishka: polskie narzędzie phishingowe omija weryfikację dwustopniową

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej