Malware in ontwikkeling die tweede-staps (2FA) code kan stelen

Gepubliceerd op 5 maart 2020 om 11:00
Malware in ontwikkeling die tweede-staps (2FA) code kan stelen

Android-malware kan Google Authenticator 2FA-codes stelen

Een nieuwe versie van de 'Cerberus' Android-banktrojan kan eenmalige codes stelen die zijn gegenereerd door de 'Google Authenticator-app' en 2FA-beveiligde accounts omzeilen.

Beveiligingsonderzoekers zeggen dat een Android-malware nu eenmalige wachtwoord codes kan genereren en stelen die zijn gegenereerd via 'Google Authenticator', een mobiele app die wordt gebruikt als een two-factor authentication (2FA) -laag voor veel online accounts.

Google heeft in 2010 de mobiele Authenticator-app gelanceerd. De app genereert unieke codes van zes tot acht cijfers die gebruikers als tweestapsverificatie moeten invoeren om  toegang te krijgen tot hun online account.

Google heeft Authenticator geïntroduceerd als alternatief voor eenmalige SMS-toegangscodes. Omdat Google Authenticator-codes worden gegenereerd op de smartphone van een gebruiker en nooit door onveilige mobiele netwerken reizen, worden online accounts die tweestapsverificatie als 2FA-lagen gebruiken, als veiliger beschouwd dan accounts die worden beschermd door op SMS gebaseerde codes. (sim-swapping)

Nederlands beveiligingsbedrijf ThreatFabric

In een rapport dat vorige week is gepubliceerd, zeggen beveiligingsonderzoekers van het Nederlandse mobiele beveiligingsbedrijf ThreatFabric dat ze een Authenticator OTP-stealing-mogelijkheid hebben ontdekt in recente voorbeelden van 'Cerberus', een relatief nieuwe trojan voor Android-bankieren die in juni 2019 werd gelanceerd.

"Door misbruik te maken van de toegangsrechten, kan de Trojan nu ook 2FA-codes stelen van de Google Authenticator-toepassing," zei het ThreatFabric-team.

“Wanneer de [Authenticator] -app actief is, kan het Trojaanse paard de inhoud van de interface ophalen en naar de [command-and-control] -server verzenden,” voegden ze eraan toe.

ThreatFabric zei dat deze nieuwe functie nog niet live is in de 'malware-Cerberus-versie' die wordt geadverteerd en wordt verkocht op hack-forums op het Darkweb.

"Wij geloven dat deze variant van Cerberus zich nog in de testfase bevindt, maar mogelijk binnenkort wordt vrijgegeven", zeiden onderzoekers.

Superieure klasse van malware

Al met al wijst het ThreadFabric-team erop dat de huidige versies van de Cerberus-banktrojan zeer geavanceerd zijn. Ze zeggen dat Cerberus nu dezelfde reeks functies bevat die meestal worden gevonden in RAT's (Remote Access Trojans), een superieure klasse van malware. Met deze RAT-functies kunnen Cerberus-operators op afstand verbinding maken met een geïnfecteerd apparaat, de bankgegevens van de eigenaar gebruiken om toegang te krijgen tot een online bankaccount en vervolgens de Authenticator OTP-stealing-functie gebruiken om 2FA-beveiligingen op de account te omzeilen - indien aanwezig.

ThreatFabric-onderzoekers geloven dat de Cerberus-trojan deze functie hoogstwaarschijnlijk zal gebruiken om op Authenticator gebaseerde 2FA-beveiligingen op accounts voor online bankieren te omzeilen, maar niets belet hackers om op Authenticator gebaseerde 2FA op andere soorten accounts te omzeilen. Dit omvat e-mailinboxen, coderingsrepository's, sociale media-accounts, intranetten en andere. Historisch gezien hebben zeer weinig hackers groepen ooit de mogelijkheid gehad om tweestapsverificatie te omzeilen. Als deze functie werkt zoals bedoeld en wordt geleverd met 'Cerberus', wordt de bank-trojan in een elite categorie van malware-soorten geplaatst.

(Two-factor authentication (2FA) is het zelfde als tweestapsverificatie)

De beste bescherming tegen Malware blijft het gebruikelijke advies:

  • Update zodra er een nieuwe update (tip 3) is van uw software.
  • Wees voorzichtig met welke e-mail bijlagen (Tip 5) u opent en wees voorzichtig bij het surfen en blijf weg van verdachte websites (tip 7).
  • Installeer een antivirusprogramma (tip 1) van hoge kwaliteit.

Bron: black hat, zdnet, threatfabric