Nuova versione del trojan bancario per Android Cerberus cattura il codice one-time di Google Authenticator

Sono stati i ricercatori di sicurezza di ThreatFabric a individuare una nuova versione del temibile trojan bancario per Android Cerberus e hanno immediatamente diramato un alert per avvisare gli utenti di Android, oltre ovviamente a segnalare a Google il problema. Questo appunto perchè la nuova versione del trojan, oltre a sottrarre i dati bancari, è in grado di intercettare la cosidetta OTP (one-time passcodes) generata da Google Authenticator e usata come sistema di autenticazione a due fattori per proteggere gli account online. 

Cerberus è un malware as a service (MaaS) individuato nell'Agosto del 2019: per malware as a service intendiamo quei malware messi in affitto online, acquistabili (e spesso personalizzabili) dalla rete di affiliati che spartisce i guadagni ottenuti con gli sviluppatori del malware. Sono reti estese di affiliazione, che prevedono persino supporto e aggiornamenti: una rete di criminali "professionisti". 

La nuova versione, stando alle analisi di Threat Fabric che ne ha analizzato il codice, implementa funzioni simili a quelle di altri Rat (remote access trojan) per Android, consentendo all'operatore che gestisce il malware praticamente il pieno accesso al dispositivo. Il malware già implementava funzionalità di trojan bancario, ma non solo. Eccone le funzionalità principali:

• eseguire screenshot;
• registrare audio dal microfono del dispositivo;
• registrare le digitazioni sul touch screen del dispositivo;
• inviare, ricevere, cancellare SMS;
• rubare la rubrica dei contatti;
• inoltrare chiamate;
• raccogliere informazioni dal dispositivo;
• geolocalizzare e tracciare il dispositivo;
• sottrarre credenziali di varie tipologie di account;
• disabilitare Play Protect;
• scaricare ulteriori app dannose e payload di altri malware;
• rimuovere app dal dispositivo (quasi sempre soluzioni di sicurezza);
• mostrare notifiche assillanti;
• bloccare lo schermo del dispositivo.

La nuova funzione implementata mira precisamente al furto del codice di autenticazione a due fattori generato dall'app Google Authenticator abusando dei Privilegi di Accessibilità. 

"Sfruttando i privilegi di Accessibilità. il trojan adesso può sottrarre anche i codici 2FA. Quando l'app è in esecuzione, il trojan è in grado di ottenere il contenuto dell'interfaccia e inviarlo al server C2. Indubbiamente questa funzionalità verrà usata per bypassare gli accessi sicuri a vari tipi di servizi che si basano sui codici OTP" dicono da Threat Fabric. 

I ricercatori hanno anche setacciato il dark web in cerca di annunci e pubblicità di questa nuova funzionalità, che renderebbe sicuramente Cerberus molto più "ghiotto" per i cyber criminali, ma ad ora non ve n'è traccia. E' molto probabile quindi che la nuova funzionalità sia in sperimentazione nella rete degli affiliati già presenti. Il report completo è consultabile qui.