Die Android Malware Verschleierungsmethoden mitsamt der Modifikation der Accessiblity-Einstellung [0], die der Banking-Trojaner Anubis verwendet, hat auch Auswirkung auf 2-Faktor-Authentifizierung (2FA), indem die Nutzeraktion automatisiert wird. Bei Charming Kitten werden Nutzer dazu verführt ihren Gmail und Yahoo! 2FA-Code preiszugeben [1]. Ähnlich wurde bei einem gezielten Angriff auf Amnesty International Mitarbeiter in Mittleren Osten und Nordafrika vorgegangen [2]. Der letzte Streich ist Modlishka [3], ein flexibler Reverse Proxy, der für Penetration Testing verwendet werden kann. Modlishka sitzt dabei zwischen der eigentlichen legitimen Website und der Phishing Website, die der Nutzer sieht. Jede Nutzereingabe auf der Phishing Website wird durch Modlishka aufgenommen und an die legitime Website weitergeleitet. Eigentlich sollte der Nutzer Tokens generieren, wenn er 2FA aktiviert hat, aber der Proxy kann natürlich zu erst antworten. In falschen Händen kann dieses Tool einige Schäden verursachen. Ist damit 2FA tot?
Nein, nicht wirklich. Es ist vielmehr wichtig zwei unterschiedliche Geräte hierfür zu verwenden oder Hardware Tokens (U2F) einzusetzen. Zusätzlich sollte man den gesunden Menschenverstand benutzen und nicht einfach darauf vertrauen, dass ein grünes Schloss im Browser zeigt, dass die Seite sicher ist. Auch wenn in [4] auf Authentifizierungsapps und biometrische Merkmale verwiesen wird, kann ersteres durch Malware umgangen werden; für zweiteres werden regelmäßig auf den CCC-Congressen Angriffe gezeigt.
Quellen:
[0] https://ngb.to/threads/39720-Android-Malware-Verschleierungstechniken
[1] https://blog.certfa.com/posts/the-return-of-the-charming-kitten/
[2] https://www.amnesty.org/en/latest/research/2018/12/when-best-practice-is-not-good-enough/
[3] https://github.com/drk1wi/Modlishka
[4] https://blog.malwarebytes.com/cyber...ion-defeated-spotlight-2fas-latest-challenge/