荷兰移动安全企业ThreatFabric在鼠年(RAT)公布了多款具备远程访问木马(Remote Access Trojan,RAT)能力的恶意程序,其中的一款Cerberus甚至可窃取Google Authenticator所产生一次性密码。
远程访问木马是黑客为了能够自远程控制所黑入的设备而添增的功能,在ThreatFabric所披露的RAT行动恶意程序中,Cerberus、Gustuff、Hydra与Anubis的本质皆为金融木马,而Ginp只是个专门窃取短信的恶意程序。
2019年6月出现的Cerberus最早只是用来汲取受黑设备的个人身份信息,当时尚缺乏闪避侦测的能力,但已逐渐取代Anubis的地位。但ThreatFabric在今年1月中发现,Cerberus作者更新了该程序,添加了RAT能力,让它不但能够窃取用户解锁屏幕的凭证,还能从Google Authenticator中盗走一次性密码。
研究显示,Cerberus的RAT功能可浏览设备的文件系统并下载设备内容,而且还能在设备上执行远程控制程序TeamViewer,以让黑客自远程创建连接。一旦成功激活了TeamViewer,即允许黑客变更设备设置、安装或移除程序,也能执行设备上所安装的任何程序。
至于Cerberus窃取用户解锁凭证的方式很简单,它就是在解锁屏幕上覆盖一层接口,要求用户解锁屏幕,并记录用户所输入的PIN码或解锁图形,取得该凭证之后,黑客就能随时自远程操作受黑设备。
而Google Authenticator则是Google的身份验证程序,可用来产生一次性密码以供Google或第三方服务进行双因素身份认证。研究人员指出,Cerberus可在Google Authenticator执行时直接取得所产生的密码,并将它发送到黑客所掌控的服务器上。
虽然ThreatFabric所发现的Cerberus样本已具备强化的RAT能力,但截至今年2月底尚未当地下论坛中看到Cerberus作者宣传该功能,猜测该版本的Cerberus仍在测试中,不过应该很快就会问世。