Des experts en sécurité ont découvert que des logiciels malveillants Android sont actuellement capables d’extraire et de voler des codes d’accès unique (One time passcodes « OTP ») généré par l’application Google Authenticator. Cette fonctionnalité est actuellement utilisée comme une solution d’authentification à deux facteurs 2FA pour de nombreux comptes en ligne.

L’application Mobile Authenticator a été déployée par Google en 2010. Cette fonctionnalité permet de générer des codes uniques comportant 6 à 8 chiffres que les utilisateurs devront ensuite saisir dans les formulaires de connexion pour accéder à des comptes en ligne. Google Authenticator a servi d’alternative à l’envoi de mots de passe à usage unique par SMS. En effet, les codes Google Authenticator sont générés directement sur le smartphone de l’utilisateur sans transiter par des réseaux mobiles sécurisés. Donc, les comptes en ligne qui ont recours à ce type de protection sont considérés comme étant plus sécurisés que ceux protégés par des codes SMS.

Malgré cela, les experts de la société néerlandaise de sécurité mobile ThreatFabric ont déclaré avoir détecté une capacité de vol de codes OTP Authenticator au niveau des échantillons récents de Cerberus, un cheval de Troie bancaire Android lancé en juin 2019. Ce malware serait en mesure d’abuser des privilèges d’accessibilité de Google Authenticator pour y voler des codes 2FA. Les experts ont découvert que lorsque l’application Authenticator est en cours d’exécution, le cheval de Troie peut obtenir le contenu de l’interface pour ensuite l’envoyer à un serveur. L’un des porte-paroles de ThreatFabric a indiqué que cette fonctionnalité malveillante n’est pas encore déployée en ligne. Toutefois, elle serait actuellement disponible sur les forums de piratage.

Les versions actuelles de Cerberus sont très avancées. Les experts ont déclaré que Cerberus possédait actuellement les mêmes fonctionnalités des chevaux de Troie d’accès à distance (RAT) qui sont qualifiés comme étant des logiciels malveillants de classe supérieure. En effet, les fonctionnalités RAT de Cerberus permettent à des individus malveillants de se connecter à distance sur un appareil infecté, d’utiliser les informations d’identification bancaires du propriétaire pour accéder à un compte bancaire en ligne et d’utiliser la fonction de vol de codes OTP Authenticator pour contourner les protections 2FA.

À lire aussi Téléchargées plus de 8 millions de fois, 42 applications de publicité malveillantes découvertes sur Google Play