Intégré au cheval de Troie Cerberus, il est capable de détourner les codes d’authentification à double facteur et d’accéder aux comptes bancaires de ses victimes. 

Les chercheurs en cybersécurité de chez Threatfabric ont mis en lumière une nouvelle menace pour les smartphones Android. Il s’agit d’une souche de malware qui est capable de détourner les codes générés par l’application d’authentification à double facteur Google Authentificator.

La double identification repose sur le fait d’introduire un mot de passe, puis un code composé de plusieurs chiffres généré aléatoirement depuis une app ou envoyé par SMS. Cela rajoute une sécurité à une authentification. L’application « 2FA » de Google est considérée comme l’une des plus sécurisées, car elle ne repose pas sur les SMS envoyés qui peuvent être interceptés, mais cela pourrait changer.

Dans leur rapport, les chercheurs de Threatfabric expliquent qu’une variante du cheval de Troie Cerberus est parvenue à récupérer les codes générés pas Google Authentificator afin de les exploiter de manière malveillante. Pour parvenir à ses fins, le malware tirerait parti des fonctions d’accessibilité d’Android.

« En abusant des privilèges d’accessibilité, ce trojan peut désormais voler les codes 2FA de l’application Google Authenticator. Lorsque l’application est lancée, le malware peut obtenir le contenu de l’interface et l’envoyer au serveur C2 (command and control). Une fois de plus, on peut en déduire que cette fonctionnalité sera utilisée pour contourner les services d’authentification qui reposent sur les codes OTP », peut-on lire dans le rapport de Threatfabric repéré par ZDNet.

Les chercheurs indiquent que pour l’instant, les tréfonds d’Internet ne semblent pas faire beaucoup référence à la nouvelle variante de Cerberus ce qui laisse penser qu’elle est toujours en phase de test. On peut imaginer que le nombre de victimes est encore faible à l’heure actuelle, mais cela pourrait changer. Elle pourrait permettre l’exploitation d’autres applications d’authentification à double facteur.

Accéder à cet outil qui sécurise une identification pourrait aider les hackers à accéder à des comptes bancaires. C’est justement la spécialisation du cheval de Troie Cerberus.

Au-delà des codes générés par le biais d’une app 2FA, le malware serait également capable de récupérer le code de déverrouillage d’un smartphone. Il est aussi question de prendre le contrôle du smartphone et de télécharger des contenus à l’insu de son propriétaire.