ThreatFabric的安全研究人员现在发现了一种新的针对Android的Cerberus恶意软件变种,可以完全绕过Google Authenticator。恶意软件可以通过从应用程序中捕获并窃取身份验证代码来实现这一目标。这些代码通常与给定帐户的更多标准密码一起用作辅助标识措施。
Cerberus的新品系包括许多改动。尤其重要的是,它利用Android中的“辅助功能”权限来访问由Google的Authenticator应用生成的一次性代码。它通过在Authenticator运行时获得对Android界面内容的访问来实现。该信息将发送到命令和控制服务器。
结果,这些代码可用于访问各种帐户,甚至可以从远程位置访问这些帐户,而无需物理访问设备。这恰好规避了Google Authenticator打算提供的安全性。
现在,Cerberus是Android中发现的许多不同恶意软件类型之一。它主要是银行木马,但也可以访问其他类型帐户的凭据。它已经相当先进了。这些远程访问木马(RAT)功能的添加会将其转移到另一类恶意软件中。
这是因为通常没有很多恶意软件可以超越多因素身份验证方法。更相关的是,Google的Authenticator应用程序不会传输其生成的六到八位数的代码。那些保留在设备上,通常会在基于标准SMS的身份验证方法上添加额外的保护层。
绕过该安全层的附加功能将使Cerberus格外强大,使其与历来感染应用程序和运行Google移动操作系统的设备的恶意软件相距甚远。
目前,ThreatFabric报告说,新的Cerberus菌株似乎不存在。实际上,它似乎不可用,甚至没有通过网络的黑客论坛进行宣传。研究人员说,这意味着它仍在接受测试。因此,尽管用户应该意识到这一威胁,但这并不是一个大问题。
Google可能会根据信息采取行动并制定计划或解决方案,以防止新菌株窃取代码。这也不应该是所有用户的一种安慰。首先,这里的解决方案可能需要更改权限,以防止Cerberus滥用这些权限。总之,这将需要对基础Android系统进行更改。
目前尚不清楚是否可以通过固件更新或安全补丁更新来实施任何此类更改。不管怎样,谷歌不一定能够传播它。相反,它将落在硬件OEM及其各自的更新周期上。首先,这些差异很大。较旧的设备根本不会自动收到更新。
相反,Google可以通过更改访问Accessibility相关权限的方式和应用程序来解决该问题。
如果ThreatFabric对其在不久的将来可能发布的版本是正确的,那对于Android用户而言并不是一个好兆头。对于使用多因素身份验证的用户,这几乎没有其他选择。
友情链接