上月，總部位於阿姆斯特丹的網路安全公司ThreatFabric發現了名為Cerberus的惡意程式。它是有史以來首款能夠成功竊取Google Authenticator應用程式生成的2FA（兩因素身份驗證）程式碼功能的Android惡意軟體。該軟體目前正在開發過程中，目前沒有證據表明已用於實際攻擊。

研究人員表示，該惡意程式混合了銀行木馬和遠端訪問木馬（RAT）特性。一旦Android使用者被感染，駭客便會使用該惡意軟體的銀行木馬功能來竊取移動銀行應用程式的帳號憑據。

ThreatFabric的報告指出，遠端訪問特洛伊木馬（Cerberus）是在6月底首次發現的，它取代了Anubis木馬，並逐漸成為一種主要的惡意軟體即服務產品。

報告指出，Cerberus在2020年1月中旬進行了更新，新版本引入了從Google Authenticator竊取2FA令牌以及裝置螢幕鎖定PIN碼和滑動方式的功能。

即使使用者賬戶受到2FA（Google Authenticator生成）保護，惡意程式Cerberus可以透過RAT功能手動連線到使用者裝置。然後，駭客將開啟Authenticator應用程式，生成一次性密碼，擷取這些程式碼的螢幕截圖，然後訪問該使用者的帳戶。

安全團隊表示：“啟用竊取裝置的螢幕鎖定憑據（PIN和鎖定模式）的功能由一個簡單的覆蓋層提供支援，該覆蓋層將要求受害者解鎖裝置。從RAT的實現中，我們可以得出結論，建立此螢幕鎖定憑據盜竊是為了使參與者能夠遠端解鎖裝置，以便在受害者不使用裝置時進行欺詐。這再次顯示了罪犯創造成功所需的正確工具的創造力。”

在本週發表的研究中，來自Nightwatch Cybersecurity的研究人員深入研究了導致這種攻擊的根本原因，即Authenticator應用程式首先允許對其內容進行螢幕截圖。

Android作業系統允許應用程式阻止其他應用程式截圖其內容，從而保護其使用者。這是透過在應用程式的配置中新增“ FLAG_SECURE”選項來完成的。Google並未將此標記新增到Authenticator的應用中，儘管該應用通常處理一些非常敏感的內容。

Nightwatch研究人員表示，谷歌早在2014年的10月就收到了相關的問題報告，當時有使用者在GitHub上注意到這個錯誤配置。2017年，Nightwatch在2017年的時候又向谷歌的安全團隊報告了相同的問題，此外還發現微軟的Authenticator同樣存在能夠截圖問題。