Две недели назад мы писали про выявленный образец трояна Cerberus, который предназначался для обхода 2FA аутентификации на устройствах Android путем кражи пароля OTP, сгенерированного специализированным приложением Google Authenticator.
Данный функционал мог использоваться вредоносом для осуществления несанкционированных пользователем банковских транзакций из под Android.
Теперь появились подробности эксплуатируемой Cerberus уязвимости и они весьма пикантны.
Во-первых, троян крадет OTP-пароль просто запустив с помощью своего RAT функционала Google Authenticator и сделав оттуда элементарный скриншот (!).
Во-вторых, как выяснили Nightwatch Cybersecurity , возможность сделать скриншот из Google Authenticator у трояна есть только потому, что кто-то не очень способный не добавил специальный флажок FLAG_SECURE в его конфигурацию.
И, так сказать, компот - впервые в Google узнали об этой уязвимости еще в октябре 2014 года от кого-то из GitHub. Впоследствии Nightwatch Cybersecurity проинформировали компанию еще раз в 2017 году. Но воз и поныне там.
В связи с изложенным напоминаем еще раз - использовать банковские приложения на Android это моветон.
https://www.zdnet.com/article/google-could-have-fixed-2fa-code-stealing-flaw-in-authenticator-app-years-ago
Данный функционал мог использоваться вредоносом для осуществления несанкционированных пользователем банковских транзакций из под Android.
Теперь появились подробности эксплуатируемой Cerberus уязвимости и они весьма пикантны.
Во-первых, троян крадет OTP-пароль просто запустив с помощью своего RAT функционала Google Authenticator и сделав оттуда элементарный скриншот (!).
Во-вторых, как выяснили Nightwatch Cybersecurity , возможность сделать скриншот из Google Authenticator у трояна есть только потому, что кто-то не очень способный не добавил специальный флажок FLAG_SECURE в его конфигурацию.
И, так сказать, компот - впервые в Google узнали об этой уязвимости еще в октябре 2014 года от кого-то из GitHub. Впоследствии Nightwatch Cybersecurity проинформировали компанию еще раз в 2017 году. Но воз и поныне там.
В связи с изложенным напоминаем еще раз - использовать банковские приложения на Android это моветон.
https://www.zdnet.com/article/google-could-have-fixed-2fa-code-stealing-flaw-in-authenticator-app-years-ago