بدافزار جدید اندروید با قابلیت سرقت کدهای احراز هویت دوعاملی گوگل

محققان امنیتی، گونه‌ی جدیدی از بدافزار اندرویدی را کشف کردند که می‌تواند رمزهای یک‌بارمصرف (OTP) تولید‌شده توسط "Google Authenticator" را استخراج و به‌سرقت ببرد.
Google Authenticator یک برنامه‌ی تلفن همراه است که از سال 2020 به‌عنوان یک لایه‌ی احراز هویت دو عاملی (2FA) برای بسیاری از حساب‌های آنلاین استفاده می‌شود. کار این برنامه، تولید کدهای منحصربه‌فرد شش تا هشت‌رقمی است که کاربران باید هنگام دسترسی به حساب‌های برخط و فرم‌های ورود به سیستم، آن‌ها را وارد کنند.
گوگل، Authenticator را به‌عنوان گزینه‌ای برای رمزهای یک‌بار مصرف مبتنی بر پیام کوتاه راه‌اندازی کرد. از آنجایی که کدهای Google Authenticator در تلفن هوشمند کاربر ایجاد می‌شوند و هرگز از شبکه‌های تلفن همراه ناامن عبور نمی‌کنند، حساب‌های برخطی که از کدهای Authenticator به‌عنوان لایه‌های 2FA استفاده می‌کنند، امنیت بالایی دارند.
اما محققان امنیتی اخیراً در نمونه‌های جدید تروجان Cerberus که یک تروجان نسبتاً جدید بانکی اندرویدی است، قابلیت سرقت رمزهای یک‌بار مصرف را کشف کرده‌اند.
این تروجان که از ماه ژوئن سال 2019 شروع به‌کار کرده است، اکنون می‌تواند با سوءاستفاده از امتیازات دسترسی، کدهای 2FA را نیز از برنامه‌ی Google Authenticator به‌سرقت ببرد.
به‌گفته‌ی محققان، وقتی برنامه‌ی Authenticator در حال اجرا است، این تروجان می‌تواند محتوای رابط را دریافت کند و آن‌را به کارگزار کنترل و فرمان ارسال کند.
نسخه‌های فعلی تروجان بانکی Cerberus بسیار پیشرفته هستند. این تروجان دارای همان ویژگی‌هایی است که معمولاً در تروجان‌های دسترسی از راه دور (RATها)، یافت می‌شوند. این ویژگی‌های RAT به اپراتورهای Cerberus اجازه می‌دهند تا از راه دور به یک دستگاه آلوده متصل شوند، از اعتبارنامه‌ی بانکی مالک استفاده کنند تا به یک حساب بانکی برخط دسترسی پیدا کنند و سپس از ویژگی Authenticator OTP-stealing برای دورزدن محافظت 2FA بر روی حساب استفاده کنند.
این تروجان همچنین دارای ویژگی گرفتن قفل صفحه است که از هم‌پوشانی استفاده می‌کند و این امکان را برای مهاجمین فراهم می‌کند که از RAT داخلی برای بازکردن قفل دستگاه‌های اندرویدی قربانیان خود استفاده کنند.
Cerberus حتی می‌تواند خودش را در قالب یک لینک مربوط به نرم‌افزار TeamViewer نیز درآورد؛ بنابراین هکرها می‌توانند گوشی قربانی را بررسی کنند و هر زمانی که بلااستفاده بود، کنترل آن‌را به‌دست بگیرند. این بدان معناست که پیام‌های متنی، حساب‌های کاربری شبکه‌های اجتماعی، تصاویر و همه‌چیز کاملاً در معرض دید هکرها قرار می‌گیرد.
به‌نظر می رسد این ویژگی جدید در نسخه‌ی Cerberus هنوز در مرحله‌ی آزمایش است اما به‌زودی منتشر می‌شود و در تالارهای هک به‌فروش خواهد رسید.
گوگل هنوز وصله‌ای را برای رفع این مشکل در برنامه‌ی Authenticator منتشر نکرده است، اما انتظار می‌رود تا هر چه زودتر، امنیت اندروید را در مقابل این نوع خطر افزایش دهد.