Android-троян Cerberus теперь крадёт 2FA-коды Google Authenticator

Екатерина Быстрова 27 Февраля 2020 - 15:30

Домашние пользователи

Android

Системы аутентификации

Средства генерации одноразовых паролей (OTP)

Трояны

Утечки информации

Умышленные утечки информации

Кража данных

...

Android-троян Cerberus теперь крадёт 2FA-коды Google Authenticator

Эксперты обнаружили новое семейство вредоносных программ для Android, способное извлекать и красть одноразовые пароли (one-time passcodes, OTP), сгенерированные с помощью Google Authenticator. Напомним, что решение для мобильных устройств Google Authenticator обеспечивает двухфакторной аутентификацией (2FA) множество онлайн-аккаунтов.

Google запустил мобильное приложение Google Authenticator в 2010 году. Принцип его работы заключается в генерации уникальных кодов, длина которых может составлять от шести до восьми цифр.

Пользователи Google Authenticator задействуют созданные приложением коды в качестве дополнительного слоя аутентификации — их нужно вставлять в специальное поле на страницах входа в учётные записи.

Другими словами, решение от Google является равноценной заменой привычной всем SMS-аутентификации (когда текстовое сообщение с коротким кодом приходит на телефон).

Поскольку коды Google Authenticator генерируются на смартфоне пользователя, при этом избегая передачи через незащищённую сотовую связь, принято считать, что решение Google защищает аккаунты лучше кодов в SMS-сообщениях.

Исследователи в области кибербезопасности из компании ThreatFabric заявили, что обнаружили новые семплы вредоносной программы Cerberus, способные красть коды Google Authenticator. Cerberus представляет собой банковский троян, разработанный для мобильной операционной системы Android.

«Используя доступ к функциям для людей с ограниченными возможностями (Accessibility Services), троян может красть 2FA-коды из приложения Google Authenticator», — пишет команда ThreatFabric.

Само собой, имея в распоряжении украденные коды, Cerberus сможет беспрепятственно аутентифицироваться в учётных записях жертв. В случае с банковскими приложениями троян легко сможет получить доступ к счёту пользователя.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 09:03

Трояны Домашние пользователи

Троянская версия 7-Zip превращает компьютеры в прокси-узлы

Исследователи из Malwarebytes обнаружили вредоносную версию популярного архиватора 7-Zip, которая распространяется через поддельный сайт 7zip[.]com. Вместо обычной установки программы пользователи получают скрытый пейлоад: заражённый компьютер начинает работать как узел резидентского прокси.

Поводом для расследования стал пост на Reddit, где пользователь пожаловался на заражение после скачивания 7-Zip не с официального сайта 7-zip.org, а с похожего домена.

Выяснилось, что вредоносный установщик действительно инсталлирует рабочую версию архиватора, но параллельно загружает дополнительные компоненты.

Основная задача зловреда — использовать устройство жертвы как прокси-сервер. Это позволяет третьим лицам направлять интернет-трафик через IP-адрес пользователя. Фактически компьютер становится частью чужой инфраструктуры, а владелец может даже не подозревать об этом.

Вредоносная программа также применяет методы сокрытия от анализа: проверяет среду запуска на признаки виртуальных машин и инструментов мониторинга, прежде чем активироваться.

По словам менеджера по исследованиям и реагированию Malwarebytes Стефана Дасича, любой компьютер, на котором запускался установщик с 7zip[.]com, следует считать скомпрометированным.

Интересно, что жертва попала на поддельный сайт после перехода по ссылке из комментариев к ролику на YouTube. В Malwarebytes отмечают, что такие мелкие ошибки — например, указание неправильного домена в обучающем видео — могут использоваться злоумышленниками для массового перенаправления пользователей на вредоносную инфраструктуру.

Эксперты советуют скачивать программы только с официальных сайтов и сохранять проверенные адреса в закладках. Также стоит насторожиться, если установщик подписан непривычным сертификатом или ведёт себя нетипично.

Кроме того, исследователи связали эту кампанию с более широкой схемой распространения proxyware — в найденных файлах упоминались Hola, TikTok, WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) и Wire. Это может указывать на использование заражённых устройств в более крупной сети прокси-инфраструктуры.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »