Kriptokoin – “Cerberus” isimli Android odaklı bankacılık truva atının yeni bir sürümü, Google Authenticator uygulaması tarafından oluşturulan tek seferlik kodları çalabilecek ve 2FA korumalı hesapları atlayabilecek durumda.
Araştırmacılar Ne Diyor?
Güvenlik araştırmacıları, bir Android odaklı kötü amaçlı yazılım türünün artık birçok çevrimiçi hesap için iki faktörlü kimlik doğrulama (2FA) katmanı olarak kullanılan bir mobil uygulama olan Google Authenticator aracılığıyla oluşturulan tek seferlik şifreleri (OTP) ayıklayıp çalabileceğini söylüyor.
Google, Authenticator mobil uygulamasını 2010 yılında başlattı. Uygulama, kullanıcıların çevrimiçi hesaplara erişmeye çalışırken giriş formlarına girmeleri gereken altı ila sekiz basamaklı benzersiz kodlar oluşturarak çalışıyor.
Google, SMS tabanlı tek seferlik şifrelere alternatif olarak Authenticator’ı başlattı. Google Authenticator kodları bir kullanıcının akıllı telefonunda oluşturulduğundan ve hiçbir zaman güvenli olmayan mobil ağlarda dolaşmadığından, Authenticator kodlarını 2FA katmanı olarak kullanan çevrimiçi hesaplar, SMS tabanlı kodlarla korunanlardan daha güvenli kabul ediliyor.
Araştırma Ekibinden Çarpıcı İddia
Bu hafta yayınlanan bir raporda, Hollanda merkezli mobil güvenlik firması ThreatFabric’in güvenlik araştırmacıları, Haziran 2019’da piyasaya sürülen nispeten yeni bir Android bankacılık truva atı olan Cerberus’un son örneklerinde bir Authenticator OTP çalma yeteneği tespit ettiklerini söylüyorlar.
ThreatFabric ekibi, “Erişilebilirlik ayrıcalıklarını kötüye kullanan Truva Atı artık Google Authenticator uygulamasından 2FA kodlarını da çalabilir” diyor ve ekliyor:
“[Authenticator] uygulaması çalışırken, Truva Atı arayüzün içeriğini alabilir ve bunu [komut ve kontrol] sunucusuna gönderebilir.”
ThreatFabric, bu yeni özelliğin bilgisayar korsanlığı forumlarında reklamı yapılan ve satılan Cerberus sürümünde henüz yayınlanmadığını söyledi.
Araştırmacılar, “Cerberus’un bu varyantının hala test aşamasında olduğuna ancak yakında piyasaya sürülebileceğine inanıyoruz” diyor.
Sonuç olarak, ThreadFabric ekibi, Cerberus bankacılık truva atının mevcut sürümlerinin çok gelişmiş olduğuna işaret ediyor. Cerberus’un artık, üstün bir kötü amaçlı yazılım sınıfı olan uzaktan erişim truva atlarında (RAT) bulunan özelliklerin aynısını içerdiğini söylüyorlar.
Bu RAT özellikleri, Cerberus operatörlerinin virüslü bir cihaza uzaktan bağlanmasına, bir çevrimiçi bankacılık hesabına erişmek için sahibinin banka kimlik bilgilerini kullanmasına ve ardından varsa hesaptaki 2FA korumasını atlamak için Authenticator OTP çalma özelliğini kullanmasına olanak tanıyor.
ThreatFabric araştırmacıları, Cerberus truva atının bu özelliği, çevrimiçi bankacılık hesaplarında Authenticator tabanlı 2FA korumalarını atlatmak için büyük olasılıkla kullanacağına inanıyorlar. Ancak bilgisayar korsanlarının diğer hesap türlerinde Authenticator tabanlı 2FA’yı atlamasını engelleyen hiçbir şey bulunmuyor. Buna e-posta gelen kutuları, kodlama depoları, sosyal medya hesapları, intranet’ler ve diğerleri de dahil.
Son dakika gelişmelerden anında haberdar olmak için bizi Twitter’da takip edin ve Telegram kanalımıza katılın!
