Google firmasının güvenlik odaklı uygulamalarından en popüler olanı herhalde Authenticator olsa gerek. 2010 yılında devreye giren mobil uygulama, kullanıcılar online hesaplara gireceği zaman onlara fazladan güvenlik sağlayan erişim kodları oluşturmakta. Altı ila sekiz haneli bu kodlar sınırlı süre aktif oluyor ve hesap girişinde yazılınca işi tamamlanıyor. Normalde çok güvenli olduğu varsayılan bu kodların, Cerberus isimli bir kötü niyetli yazılımın son sürümü tarafından çalınabildiği keşfedilmiş.
Hollanda kökenli mobil güvenlik firması ThreatFabric, Haziran 2019’da ortaya çıkarttığı Cerberus’un bir Android bankacılık Truva atı olduğu bilgisini veriyor. Adını Yunan mitolojisinde cehennem kapılarını koruduğuna inanılan üç başlı köpek benzeri canavardan alan yazılım, son versiyonu ile işlevlerine hırsızlığı da eklemiş. Firmanın güvenlik araştırmacıları yazılımın, Google Authenticator aracılığı ile oluşturulan tek seferlik kullanımlı (OTP) çift faktörlü kimlik onaylama (2FA) şifrelerini ele geçirebildiğini açıklamışlar.
Konuyla ilgili ThreatFabric raporunda, Truva atı türü yazılımın mobil cihazlardaki erişilebilirlik ayrıcalıklarını kötüye kullanarak çalıştığı belirtilmiş. Cerberus bu ayrıcalıklar sayesinde, Authenticator mobil uygulaması çalışırken arayüzün içeriğine erişebiliyor. Bunu da uzaktan idare edildiği komut ve kontrol (C&C) sunucusuna gönderiyor. Siber suçlular da bu kodları gördükleri anda, kurbanların online hesaplarına hızlıca giriyor ve kullanıcının kendisini hesap dışında bırakabiliyorlar.
Raporda bu yeni özelliğin hacker forumlarında reklamı yapılan ve satılan güncel Cerberus sürümünde bulunmadığı da aktarılmakta. Authenticator kodlarını çalan sürümün hala test aşamasında olduğu, ancak yakında piyasaya sürülebileceğine inanılmakta. ThreadFabric ekibi Cerberus bankacılık yazılımının yeni sürümlerinin teknik olarak çok gelişmiş olduğuna da dikkat çekiyor. Kötü niyetli yazılımın, artık daha üstün bir yazılım sınıfı olan ‘uzaktan erişimli Truva atları’nda (remote access trojan – RAT) bulunan özelliklerin benzerlerini içerdiği belirtilmiş.
RAT özellikleri sayesinde Cerberus operatörleri yazılım bulaşmış bir cihaza uzaktan bağlanabiliyor, online bankacılık hesaplarına erişmeye çalışan cihaz sahibinin 2FA korumasını atlamak için Authenticator OTP çalma özelliğini kullanmasına fırsat veriyor. Araştırmacılar yazılımın etkisinin sadece bankacılık hesapları ile sınırlı kalmayacağına inandıklarını ifade etmişler. Yani kötü niyetli yazılım siber suçluların 2FA kullanan e-posta hesaplarına, kod havuzlarına, sosyal medya hesaplarına, intranet hesaplarına ve benzer başka arayüzlere erişimelerini de mümkün hale getirebilir.