Nederlandse onderzoekers ontdekken malware die Authenticator omzeilt

Abonneer je gratis op Techzine!

Het gebruik van two-factor-authentication wordt door beveiligingsfirma gepusht als één van de betere methoden voor gebruikers om hun inloggegevens te bewaken, maar onderzoekers hebben een kwetsbaarheid blootgelegd. Een nieuwe versie van de malware Cerberus zou de codes gegenereerd door Google Authenticator kunnen oppikken en gebruiken.

De Google Authenticator is één van de populairdere 2FA-apps in de Google Play Store en kan gebruikt worden voor een reeks aan verschillende services. De app genereert een code van zes cijfers die slechts een korte tijd te gebruiken is, alvorens de actieve code (vereist voor een login bij een gekoppelde service) wordt ververst.

Het Nederlandse ThreatFabric laat deze week weten dat het in nieuwe versies van de banking trojan Cerberus mogelijkheden heeft gevonden om de gegenereerde codes van Google Authenticator buit te maken. Het betreft hier wel versies van Cerberus die vooralsnog niet worden aangeboden op hackersfora, maar in de komende tijd wel op de markt worden verwacht.

Door misbruik te maken van toegekende privileges, zou de trojan de codes direct van de interface kunnen halen en doorsturen naar een server. Vervolgens kan een oplettende kwaadwillende partij wachten totdat er een nieuwe wordt gegenereerd en deze gebruiken voor het gelinkte account op een gekoppelde service.

Dat Cerberus de 2FA zou kunnen omzeilen voor andere services lijkt slechts een bijkomende functie te zijn: in eerste instantie zou het de hackers te doen zijn geweest om het kunnen inloggen op bankaccounts van gebruikers wiens telefoon is gehackt. Het buitmaken van gekoppelde bankaccounts zijn het voornaamste doel zijn, maar eventuele extra gekoppelde accounts liggen dan ook voor het oprapen.