2FA'yı kıran ilk kötü amaçlı Android programı: banka hesaplarını çalabilir
Geçen ay, Amsterdam merkezli bir siber güvenlik şirketi olan ThreatFabric, Cerberus adlı kötü amaçlı bir program keşfetti. Google Authenticator uygulaması tarafından oluşturulan 2FA (iki faktörlü kimlik doğrulama) kod işlevini başarıyla çalan ilk Android kötü amaçlı yazılımıdır. Yazılım şu anda geliştirme aşamasındadır ve şu anda gerçek saldırılarda kullanıldığına dair hiçbir kanıt yoktur.
Araştırmacılar, kötü amaçlı programın bankacılık Truva Atı ve uzaktan erişim Truva Atı (RAT) özelliklerinin bir karışımı olduğunu söyledi. Bir Android kullanıcısına virüs bulaştığında, bilgisayar korsanı, mobil bankacılık uygulamasının hesap bilgilerini çalmak için kötü amaçlı yazılımın bankacılık Truva Atı işlevini kullanacaktır.
ThreatFabric raporu, uzaktan erişim Truva Atı'nın (Cerberus) ilk olarak Haziran sonunda keşfedildiğini, Anubis Truva Atı'nın yerini aldığını ve yavaş yavaş büyük bir hizmet olarak kötü amaçlı yazılım ürünü haline geldiğini belirtti.
Rapor, Cerberus'un Ocak 2020'nin ortalarında güncellendiğine dikkat çekti. Yeni sürüm, Google Authenticator'dan 2FA token çalma ve cihazın ekranının PIN kodunu kilitleme ve kaydırma yöntemlerini kilitleme işlevlerini tanıttı.
Kullanıcı hesabı 2FA (Google Authenticator) ile korunsa bile, kötü amaçlı program olan Cerberus, RAT işlevi aracılığıyla kullanıcı cihazına manuel olarak bağlanabilir. Bilgisayar korsanı daha sonra Authenticator uygulamasını açacak, tek seferlik bir şifre oluşturacak, bu kodların ekran görüntülerini alacak ve ardından kullanıcının hesabına erişecektir.
Güvenlik ekibi şunları söyledi: "Cihazın ekran kilidi kimlik bilgilerinin (PIN ve kilit modu) çalınmasını sağlama yeteneği, kurbanın cihazın kilidini açmasını gerektiren basit bir katmanla destekleniyor. RAT'nin uygulanmasından sonuçlara varabiliriz , Bu ekran kilidi kimlik bilgisi hırsızlığının oluşturulması, kurban cihazı kullanmadığında sahtekarlık yapmak için katılımcıların cihazın kilidini uzaktan açmasını sağlamaktır. Bu, suçlunun başarılı olmak için gereken doğru araçları oluşturma konusundaki yaratıcılığını bir kez daha göstermektedir. "
Bu hafta yayınlanan araştırmada, Nightwatch Cybersecurity'den araştırmacılar bu saldırının temel nedenini araştırdılar, yani Authenticator uygulaması içeriğinin ekran görüntülerine izin verdi.
Android işletim sistemi, uygulamaların diğer uygulamaların içeriklerinin ekran görüntülerini almasını engellemesine ve böylece kullanıcılarını korumasına izin verir. Bu, uygulamanın yapılandırmasına "FLAG_SECURE" seçeneği eklenerek yapılır. Google, bu işareti Authenticator uygulamasına eklememiştir, ancak uygulama genellikle bazı çok hassas içerikleri yönetmektedir.
Nightwatch araştırmacıları, Google'ın ilgili sorun raporlarını, kullanıcıların GitHub'da bu yanlış yapılandırmayı fark ettikleri Ekim 2014 gibi erken bir tarihte aldığını söyledi. Nightwatch 2017'de aynı sorunu Google'ın güvenlik ekibine bildirdi. Ayrıca, Microsoft Authenticator'ın da ekran görüntüsü alma sorunu yaşadığı keşfedildi.
