Google Authenticator non è più sicuro, a causa del malware Cerberus

Cerberus è un malware trojan. Più in particolare, si tratta di un RAT: acronimo per Remote Access Trojan, si tratta di una versione estremamente più sofisticata dei comuni malware per Android, essendo in grado di assumere gli stessi poteri di controllo sullo smartphone di cui dispone solitamente solo l’utente.

Nel corso degli ultimi anni, i malware RAT sono cresciuti di numero e di potenziale distruttivo: il motivo di un’adozione così frequente delle loro modalità d’attacco da parte della comunità mondiale degli hacker è da associare alla concomitante transizione a forme di mobile banking da parte degli utenti. I RAT, estremamente popolari su Windows, sono stati replicati su Android con successi altalenanti: per quanto sia possibile adottare l’approccio cosiddetto tradizionale al furto di credenziali ed identità digitali per l’accesso ai conti correnti che già veniva usato su desktop, la stretta di Android alle Accessibility Service API (trovate QUI un nostro approfondimento in merito) ha reso il lavoro degli sviluppatori di trojan molto più difficile.

Dato il successo delle app per il mobile banking, le tecnologie di sicurezza sono evolute nel corso del tempo e pertanto anche gli hacker hanno dovuto elaborare nuove strategie. Dall’intercettazione degli SMS contenenti le password di accesso o i codici di recupero delle credenziali si è passati a forme più sofisticate di device fingerprinting, tali da consentire di “replicare” artificialmente l’identità di un telefono, sino addirittura a forme ibride di attacco.

Cerberus fa parte di questa grande famiglia di malware, e non è nemmeno uno dei giocatori più giovani in questo campo: scoperto per la prima volta nel giugno 2019, si è subito fatto notare per via dell’atteggiamento spavaldo dei suoi sviluppatori. Questi infatti non si sono limitati a diffondere tramite pubblicità infette o applicazioni fasulle il proprio malware online, ma hanno creato un profilo Twitter “ufficiale” del virus, tramite il quale dileggiare personalità del mondo della sicurezza informatica (come Lukas Stefanko) e dimostrare la potenza dei propri algoritmi: una campagna di marketing molto aggressiva, finalizzata ad attirare l’attenzione di clienti disposti ad acquistarne il pacchetto di sviluppo. Gli analisti del laboratorio di ricerca Threat Fabric, che per primi hanno segnalato il malware alla comunità scientifica, hanno associato a questo comportamento una probabile mancanza d’esperienza da parte degli hacker responsabili della creazione di Cerberus.

Scomparso momentaneamente dalla circolazione qualche mese dopo, Cerberus è riemerso all’inizio del 2020 con una nuova abilità, molto più minacciosa di quelle dimostrate in precedenza: la capacità di penetrare le difese di Google Authenticator.

Come già menzionato nei paragrafi precedenti, Cerberus è noto alla comunità degli analisti di malware in due forme.

La prima, emersa a metà del 2019, consisteva in un malware finalizzato ad attività di phishing bancario. L’obbiettivo del trojan consisteva nel furto delle credenziali bancarie, e pur implementando strategie d’attacco sicuramente interessanti – ad esempio, sfruttava l’accelerometro ed il pedometro, sensori inclusi nella maggior parte degli smartphone, per nascondere la propria identità ai sistemi di antivirus presenti nel telefono – non veniva configurato tra le principali minacce dell’anno passato.

La versione scoperta nel 2020 è invece molto più aggressiva, e sofisticata. Avendo subito un deciso restyling del codice di sviluppo, Cerberus ora integra funzionalità tipiche dei malware di tipo RAT: in questo moto è in grado di derubare l’utente infettato delle password di controllo del blocco schermo, così come del tracciato utilizzato nei lockscreen di tipo pattern, inducendo con l’inganno l’utente al suo inserimento in una schermata fasulla. Il furto di queste credenziali non è casuale: una volta in grado di sbloccare autonomamente lo schermo, il malware ne approfitta per agire indisturbato quando ritiene che l’utente non stia utilizzando il dispositivo.

Cerberus inoltre si serve del software TeamViewer per prendere completo controllo del dispositivo. Il programma, presente su tutti i principali sistemi operativi mobili e fissi, viene solitamente usato per l’accesso da remoto a smartphone o computer per la risoluzione di problematiche software da parte di servizi clienti di compagnie impegnate nell’IT. Tuttavia, esiste una nutrita narrativa che descrive il suo utilizzo nel campo delle truffe informatiche, degli attacchi da parte di ransomware e naturalmente anche di malware RAT.

Grazie a TeamViewer, Cerberus è in grado di accedere ad ogni angolo del dispositivo: può modificare le impostazioni di sistema, installare o disinstallare applicazioni, scaricare contenuti ma soprattutto utilizzare le app già presenti nella memoria dello smartphone, ed in particolare le app delle banche o i social network e le app di messaggistica. Threat Factor aggiunge che, vista la sua configurazione tecnica, Cerberus potrebbe essere utilizzato anche come spyware.

Il particolare più inquietante è sicuramente dato dalla sua capacità di accedere ai codici generati da Google Authenticator; abusando delle Accessibility Service API, Cerberus mette le mani sui codici prodotti dall’applicazione, che sono poi utilizzati dai sistemi di autenticazione a due fattori che vi abbiamo più volte descritto in QUESTA guida dedicata per confermare l’identità dell’utente al momento del login. In questo modo Google Authenticator perde gran parte della sua utilità, essendo suscettibile a questa tipologia di attacchi.

Cerberus prende di mira una serie di app di mobile banking: all’interno della lista, che potete trovare QUI, sono presenti numerosi istituti di credito italiani, come La Mia Banca, BNL, Intesa Sanpaolo, ING Direct Italia, Banca MPS, UBI Banca e Postepay.

Secondo gli analisti di Threat Factor, non ci sono prove che Cerberus sia stato già rilasciato nei forum underground degli sviluppatori di malware, o messo all’asta nel dark web. Questa però non è una buona notizia: ciò significa infatti che la versione analizzata del malware è ancora un prototipo, e che pertanto il modello finale potrebbe essere anche differente nelle modalità d’infezione ed attacco.

Il fatto che possa facilmente prelevare i codici 2FA generati da Google Authenticator ci porta a mettere in discussione la sicurezza dell’applicazione di Google; date poi le sue limitazioni e la mancanza di aggiornamenti dal 2017, vi suggeriamo di transitare ad altre soluzioni, come Authy – ottima app per l’autenticazione a due fattori. Se invece volete aumentare il livello di sicurezza delle vostre password, potete comprare un token fisico, come quelli forniti da Yubico e venduti sul Google Store a partire da 45€.