Une variante du banking trojan « Cerberus », apparue en janvier dernier, est capable d'interpréter les codes générés par l'application de 2FA Google Authentificator. L'une des plus utilisées.
L'identification à deux facteurs est l'un des moyens les plus sûrs de se connecter à un compte en ligne. Si cette méthode peut recourir à l'envoi de SMS, générer des codes par l'intermédiaire d'une application dédiée à cet usage, comme Authy ou Google Authentificator, est encore plus sécurisé puisque aucun envoi de messages (qui peuvent potentiellement être interceptés) n'est requis. Malheureusement pour Google, son application de 2FA est désormais vulnérable à un malware.
« Cerberus », le trojan qui en veut à Google Authentificator
Selon un rapport publié dernièrement par les chercheurs en sécurité de Threatfabric, une variante du banking trojan « Cerberus » serait capable depuis janvier dernier de détecter les codes générés par Google Authentificator et de les exploiter à des fins malveillantes. Pour y parvenir, le malware tire partie des fonctions d'accessibilité d'Android.« En abusant des privilèges d'accessibilité, ce trojan peut désormais voler les codes 2FA de l'application Google Authenticator. Lorsque l'application est lancée, le malware peut obtenir le contenu de l'interface et l'envoyer au serveur C2 (command and control). Une fois de plus, on peut en déduire que cette fonctionnalité sera utilisée pour contourner les services d'authentification qui reposent sur les codes OTP », lit-on du rapport, repéré par ZDNet.
Un malware qui pourrait aussi concerner d'autres applications d'identification à deux facteurs
Comme l'indique Threatfabric dans son analyse, cette nouvelle fonctionnalité de Cerberus ne semble pas encore faire beaucoup parler d'elle sur les forums occultes fréquentés par les pirates, ce qui laisse entendre qu'elle est pour l'heure qu'en phase de test... et donc peu (ou pas) exploitée dans les faits. Elle pourrait néanmoins, à terme, représenter une menace majeure pour nombre de services utilisant l'identification à deux facteurs, qu'il s'agisse de se connecter simplement à son compte Twitter ou Google... ou à des services bancaires.De par son mode opératoire, le trojan pourrait enfin concerner d'autres applications de 2FA que Google Authentificator. Il en va donc de la responsabilité de Google, qui devra, dans les meilleurs délais, renforcer les protections d'Android contre ce type de menace.
Source : Android Authority