Zespół analityków z Threat Fabric wykrył nową wersję złośliwego oprogramowania zwanego "Cerberusem". Tym razem z pomocą funkcji zdalnego dostępu, przestępcy mogą wykraść także kody PIN, wzory blokady ekranu czy tokeny uwierzytelniania dwuskładnikowego.

bESDtLVN

Cerberus to następca Anubisa i jedno z największych zagrożeń dla urządzeń z systemem Android w przeciągu ostatnich kilku miesięcy. Aktywność kampanii phishingowej zaobserwowano w czerwcu 2019 roku. Dystrybucja złośliwego kodu odbywała się przy pomocy wiadomości SMS z informacją o śledzeniu przesyłki.

Link miał prowadzić do pliku w formacie .APK, który rzekomo miał instalować aplikację mobilną firmy kurierskiej. Zamiast tego ofiara instalowała bota, który wykradał dane logowania do wybranych aplikacji. Głównie są to aplikacje obsługujące bankowość mobilną. Wykradzione dane następnie trafiały na serwery twórców Cerberusa.

Fot. CERT
Fot. CERT

Wraz z wprowadzeniem w życie dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366, zwanej powszechnie PSD2 (ang. Payment Services Directive), dane logowania okazały się niewystarczające. Uwierzytelnianie dwuskładnikowe stało się obowiązkiem dla każdego banku. W Polsce zmiany te zaczęły obowiązywać od 14 września 2019 roku.

bESDtLVP

Teraz Cerberus wykrada także dane uwierzytelniające, bo ma zdalny dostęp

Jak donoszą eksperci z Threat Fabric, nowa wersja Cerberusa pozwala na zdalne sterowanie urządzeniem. Atakujący może więc odblokować ekran i uruchomić dowolną aplikację, w tym bankowość mobilną. Jest w stanie też przechwycić wiadomości SMS zawierające kod uwierzytelniający.

To samo dotyczy uwierzytelniania przy pomocy aplikacji Google Authenticator, która pozwala generować kody dostępu do wielu innych programów. To rozwiązanie miało być bezpieczną alternatywą dla SMS-ów, ponieważ 6-cyfrowe hasła są generowane bezpośrednio na urządzeniach i nie przechodzą przez serię potencjalnie niezabezpieczonych kanałów.

Programy

Aktualizacje
Aktualizacje
Nowości
Komentarze (109)
bESDtLWL