El malware de Android puede robar los códigos 2FA de Google Authenticator


g-auth-2fa-codes.png

Imagen: ZDNet

Los investigadores de seguridad dicen que una cepa de malware de Android ahora puede extraer y robar códigos de acceso únicos (OTP) generados a través de Autenticador de Google, una aplicación móvil que se utiliza como capa de autenticación de dos factores (2FA) para muchas cuentas en línea.

Google lanzó la aplicación móvil Authenticator en 2010. La aplicación funciona generando códigos únicos de seis a ocho dígitos que los usuarios deben ingresar en los formularios de inicio de sesión al intentar acceder a las cuentas en línea.

Google lanzó Authenticator como una alternativa a los códigos de acceso únicos basados ​​en SMS. Debido a que los códigos de Google Authenticator se generan en el teléfono inteligente de un usuario y nunca viajan a través de redes móviles inseguras, las cuentas en línea que usan códigos Authenticator como capas 2FA se consideran más seguras que las protegidas por códigos basados ​​en SMS.

Cerberus obtiene capacidades de robo de OTP de autenticador

En un informe publicado esta semana, los investigadores de seguridad de la firma holandesa de seguridad móvil ThreatFabric dicen que han descubierto una capacidad de robo de OTP Authenticator en muestras recientes de Cerberus, un troyano bancario Android relativamente nuevo que lanzado en junio de 2019.

«Abusando de los privilegios de accesibilidad, el troyano ahora también puede robar códigos 2FA de la aplicación Google Authenticator», dijo el equipo de ThreatFabric.

«Cuando se está ejecutando la aplicación (Authenticator), el troyano puede obtener el contenido de la interfaz y puede enviarlo al servidor (comando y command)», agregaron.

ThreatFabric dijo que esta nueva característica aún no está disponible en la versión Cerberus anunciada y vendida en foros de piratería.

«Creemos que esta variante de Cerberus todavía está en la fase de prueba, pero podría lanzarse pronto», dijeron los investigadores.

Característica desarrollada para evitar 2FA en cuentas bancarias

Con todo, el equipo de ThreadFabric señala que las versiones actuales del troyano bancario Cerberus son muy avanzadas. Dicen que Cerberus ahora incluye la misma variedad de características que generalmente se encuentran en los troyanos de acceso remoto (RAT), una clase excellent de malware.

Estas características de RAT permiten a los operadores de Cerberus conectarse de forma remota a un dispositivo infectado, usar las credenciales bancarias del propietario para acceder a una cuenta bancaria en línea y luego usar la función de robo de OTP de Autenticador para evitar las protecciones 2FA en la cuenta, si está presente.

Los investigadores de ThreatFabric creen que el troyano Cerberus probablemente usará esta función para eludir las protecciones 2FA basadas en Authenticator en cuentas bancarias en línea, sin embargo, no hay nada que impida a los piratas informáticos eludir 2FA basadas en Authenticator en otros tipos de cuentas. Esto incluye bandejas de entrada de correo electrónico, repositorios de codificación, cuentas de redes sociales, intranets y otros.

Históricamente, muy pocos grupos de hackers e incluso menos cepas de malware (1, 2) han tenido la capacidad de eludir las soluciones de autenticación multifactor (MFA).

Si esta característica funciona según lo previsto y se envía con Cerberus, esto colocará al troyano bancario en una categoría de élite de cepas de malware.

Las nuevas capacidades de Cerberus se detallan en un Informe de ThreatFabric que resume todas las actualizaciones recientes relacionadas con el acceso remoto detectadas en las cepas de malware de Android. El informe contiene información adicional sobre otras operaciones de malware de Android, como Gustuff, Hydra, Ginp y Anubis.



Enlace a la noticia initial