ThreatFabric, eine in Amsterdam ansässige Cybersecurity-Firma, hat herausgefunden, dass die neueste Version des sogenannten „Cerberus“ Trojaners auf infizierten Geräten Sicherheitscodes für Zwei-Faktor-Authentisierung (2FA) ausliest. Die entsprechenden Codes werden aus der Google Authenticator App ausgelesen, wobei es sich um Zugangsdaten für Onlinebanking, E-Mail und Kryptobörsen handelt.

Die große amerikanische Kryptobörse Coinbase gehört laut der umfangreichen Liste von ThreatFabric zu einer der Plattformen, für die der Trojaner Zugangsdaten entwendet. Auch für namhafte Banken und soziale Netzwerke klaut das Virus Zugangsberechtigungen.

Die Cybersicherheitsfirma weist darauf hin, dass sie im Dark Web noch keine Werbung für den aktualisierten Trojaner gefunden hat, weshalb sie davon ausgeht, dass sich die neue Version „noch in der Testphase befindet und bald herausgebracht wird.

Cerberus wurde 2020 aktualisiert

Wie es in dem Bericht von ThreatFabric heißt, konnte der Cerberus Trojaner, der zur Gruppe der „Remote Access Trojaner“ (RAT) gehört, erstmals vergangenen Juni festgestellt werden, wobei er den Anubis Trojaner als einen der bedrohlichsten Viren ablöste.

Laut Bericht wurde Cerberus im Januar 2020 aktualisiert, wobei die neue Version nun auch 2FA-Sicherheitscodes aus der Google Authenticator App sowie PIN-Codes und Wischmuster für Sperrbildschirme auslesen kann.

Sobald Cerberus installiert ist, kann ein Hacker vollen Zugriff über ein infiziertes Gerät herstellen und die betreffenden Daten auslesen. Im Zuge dessen kann der Angreifer auf alle möglichen Apps zugreifen, darunter auch solche für Onlinebanking du Krypto-Handel.

„Der Mechanismus, der es den Hackern erlaubt, die Logindaten (PIN oder Wischmuster) zur Entsperrung des Bildschirmes auszulesen, ist ein einfaches Overlay, das den Nutzer dazu auffordert, das Gerät zu entsperren. Die Entsperrung des Bildschirms dient dazu, dass der Angreifer auf das Gerät zugreifen kann, wenn der eigentliche Eigentümer dies nicht gerade nutzt. Daran sieht man, dass Kriminelle genau wissen, welche Art von Tool sie bauen müssen, um erfolgreich zu agieren.“

Krypto-Wallets geraten zunehmend ins Visier

Der Bericht von ThreatFabric untersucht noch zwei weitere Trojaner, die nach Anubis in den Vordergrund gerückt sind, und zwar „Hydra“ und „Gustaff“.

Gustaff attackiert vorwiegend Apps australischer und kanadischer Banken, Krypto-Wallets und Regierungsseiten, während Hydra hauptsächlich auf türkische Banken und Blockchain-Wallets abzielt.

Ein möglicher Schutz gegen Cerberus sind physische Privatschlüssel für Krypto-Wallets. Die Hacker müssten dann das jeweilige Speichergerät vorliegen haben, auf dem dieser Schlüssel abgelegt ist, um Kryptowährungen stehlen zu können.