image

Android-malware kan 2FA-codes van Google Authenticator stelen

donderdag 27 februari 2020, 08:20 door Redactie, 11 reacties

Onderzoekers hebben een nieuwe variant van de Cerberus-malware voor Android ontdekt die in staat is om 2FA-codes van Google Authenticator stelen. Dat meldt het Nederlandse securitybedrijf ThreatFabric. Cerberus is een banking Trojan die oorspronkelijk is ontwikkeld voor het plegen van bankfraude.

Begin dit jaar werd er een nieuwe variant gevonden die van verschillende nieuwe features is voorzien. Zo kan de malware de pincode of het patroon stelen waarmee het scherm wordt vergrendeld, alsmede tweefactorauthenticatie (2FA)-codes die via Google Authenticator worden gegenereerd. Daarnaast kan de malware TeamViewer opzetten zodat de aanvaller op afstand toegang tot de machine heeft.

Om de schermvergrendelingscode te stelen maakt de malware gebruik van een overlay die de gebruiker verplicht om zijn toestel te ontgrendelen. Met deze gestolen gegevens kunnen aanvallers de telefoon op afstand ontgrendelen en voor fraude gebruiken wanneer het slachtoffer niet met zijn telefoon bezig is, aldus de onderzoekers.

Met de toegang tot de telefoon is het ook mogelijk om 2FA-codes van Google Authenticator uit te lezen. Zodoende is het mogelijk om op diensten in te loggen die een extra beveiligingscode vereisen. De onderzoekers merken op dat de nieuwe features nog niet zijn geadverteerd aan andere criminelen. Mogelijk dat de nu ontdekte Cerberus-versie zich nog in de testfase bevindt.

Reacties (11)
27-02-2020, 10:15 door Anoniem
Lees ik hier dan ook dat een vingerafdruk of gezichtsherkenning veiliger is tegen dit soor aanvallen.
27-02-2020, 10:16 door Erik van Straten
Het (m.i. zeer informatieve) TreatFabric artikel bechrijft meer aanvalstactieken van meerdere groepen cybercriminelen.

De cerberus malware heeft ook een "overlay" paraat voor de Androud app "ABN AMRO Mobiel Bankieren" en Hydra heeft dat voor de Turkse ING bank (zo te zien de app). Ook hebben vele, zo niet alle, besproken trojans de mogelijkheid om informatie uit op Android-devices geïnstalleerde browsers te halen (o.a. uit de URL-balk) en op basis van de getoonde domeinnaam een "browser overlay" boven de webbrowser te projecteren, o.a. voor https://secure.indeed.com.

Afgelopen maand is de Android trojan "Ginp" uitgebreid met "Added androidx library and stop notifications, call forward, send fake SMS and ringtone commands". De na de arrestatie vrijgekomen sources van de Anubis malware worden "verbeterd" door onverlaten.

Ik vrees dat de auteurs gelijk hebben in hun conclusie:
[...]
Existing banking Trojans have continued evolving in order to remain relevant and successful. Creative and inventive, certain threat actors have been able to enhance their malicious tools to remain under the radar while growing fraud revenue. Gustuff and Hydra are good examples of such with their own view on implementation of Automated Transaction Systems and Remote Access.

This year we can expect the threat landscape to evolve further, with new banking malware families appearing and older ones being enhanced with new capabilities. It seems that in order to keep up with contemporary fraud detection solutions and successfully perform fraud, malware authors will continue implementing features that facilitate on-device fraud.
[...]
27-02-2020, 11:01 door buttonius
Weer een reden waarom ik nooit ga bankieren met mijn alleen mijn smart-phone. Er moet gewoon een tweede apparaat bij gebruikt worden.
Dus: smart-phone (voor ontvangen TAN code) PLUS computer
Of: scanner-ding van ING PLUS computer
Of: TAN code op papier PLUS computer
27-02-2020, 11:04 door Anoniem
Door buttonius: Weer een reden waarom ik nooit ga bankieren met mijn alleen mijn smart-phone. Er moet gewoon een tweede apparaat bij gebruikt worden.
Dus: smart-phone (voor ontvangen TAN code) PLUS computer
Of: scanner-ding van ING PLUS computer
Of: TAN code op papier PLUS computer

Verdiep je eens in de software van Memento.
27-02-2020, 12:14 door Anoniem
Door buttonius: Weer een reden waarom ik nooit ga bankieren met mijn alleen mijn smart-phone. Er moet gewoon een tweede apparaat bij gebruikt worden.
Sowieso zou je niet moeten willen bankieren met je telefoon. Wat is daarvan de toegevoegde waarde?
En bij de Rabobank maar promoten dat je een 6-cijferige code kunt instellen om makkelijk, zonder reader, in kunnen loggen.
Rabobank heeft het echt niet begrepen qua veiligheid/privacy plus dat hun site (online bankier gedeelte) steeds verder achteruit gaat. Het moet steeds meer op de app gaan lijken (lekker makkelijk om te onderhouden) waardoor het vanaf een PC onwerkbaar aan het worden is. En hop het tarief voor dit jaar weer met 8 procent omhoog. En met dank aan de EU is overstappen ondoenlijk geworden, niet dat ik verwacht dat het gras bij de buren groener is.
27-02-2020, 12:17 door linux4
Door buttonius: Weer een reden waarom ik nooit ga bankieren met mijn alleen mijn smart-phone. Er moet gewoon een tweede apparaat bij gebruikt worden.
Dus: smart-phone (voor ontvangen TAN code) PLUS computer
Of: scanner-ding van ING PLUS computer
Of: TAN code op papier PLUS computer

Ik gebruik ING en ABNAMRO en die kun je zo instellen dat je enkel via de app slechts een beperkt bedrag kunt overmaken. Voor grotere bedragen heb je bij ING de combinatie PC + Smartphone OF PC + ING Reader nodig.
Bij ABNAMRO bij zowel PC als Smartphone is de cardreader benodigd.

Verder gebruik ik enkel een Android One telefoon die maandelijks van updates voorzien wordt, de gratis Bitdefender app die alle app (updates) scant en gebruik ik enkel de meest populaire apps uit de PlayStore.

100% Waterdicht? Ik weet wel zeker van niet maar ik ben wel overtuigd dat ik voldoende gedaan heb om criminelen zoveel mogelijk buiten de deur te houden.
27-02-2020, 12:19 door linux4
Door Anoniem: Lees ik hier dan ook dat een vingerafdruk of gezichtsherkenning veiliger is tegen dit soor aanvallen.

Het is ten eerste de vraag hoe de malware op je telefoon komt, wel of niet buiten de PlayStore om.
Gezichtsherkenning is beperkt veilig op Android omdat de camera geen 3D beeld scant zoals de iPhone wel doet.
27-02-2020, 14:34 door Anoniem
Door Anoniem:
Door buttonius: Weer een reden waarom ik nooit ga bankieren met mijn alleen mijn smart-phone. Er moet gewoon een tweede apparaat bij gebruikt worden.
Dus: smart-phone (voor ontvangen TAN code) PLUS computer
Of: scanner-ding van ING PLUS computer
Of: TAN code op papier PLUS computer

Verdiep je eens in de software van Memento.

@ buttonius: De schrijver heeft gelijk. Wat heeft een hacker aan een smartphone als hij niet weet waar de codes voor gebruikt worden? Hij heeft geen flauw benul voor welke bank of site deze codes zijn, want meneer Anoniem surft niet op zijn smartphone naar de banksite maar op zijn computer.

Eigenlijk zou je nog een stap verder moeten gaan:

1. speciale smartphone voor alleen google authenticator en verder niks (dus ook niet andere apps of surfen, of mail).
2. 2e smartphone voor alleen de e-mail
3. smartphone voor alleen surfen
4. pc of smartphone voor alleen bankzaken.

Kans op misbruik is dan enorm klein.
27-02-2020, 17:12 door Anoniem
Door Anoniem: Lees ik hier dan ook dat een vingerafdruk of gezichtsherkenning veiliger is tegen dit soor aanvallen.

Nee.
Zo kan de malware de pincode of het patroon stelen waarmee het scherm wordt vergrendeld

Om de schermvergrendelingscode te stelen maakt de malware gebruik van een overlay die de gebruiker verplicht om zijn toestel te ontgrendelen.

De malware kan vast afdwingen om het toestel te ontgrendelen met de pincode als je vingerafdruk of gezichtsherkenning auth gebruikt.
28-02-2020, 09:09 door [Account Verwijderd]
En welkom in het "superveilige" systeem van Google, dat uiteindelijk toch niet zo veilig was maar meer een lekkende zeef.
28-02-2020, 10:12 door Anoniem
dan toch maar apple ios?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.