Una variedad de malware de Android que se vende a piratas informáticos ha adquirido una capacidad aterradora: ahora puede intentar robar códigos de dos factores de la aplicación Google Authenticator.
Informada por primera vez por ZDNet, la firma de seguridad holandesa ThreatFabric descubrió la función en una nueva variante del troyano Cerberus Android, que está diseñado para robar el acceso a las cuentas bancarias de las personas al secuestrar sus teléfonos inteligentes.
Si se instala correctamente, Cerberus es capaz de registrar sus pulsaciones de teclas y recopilar todos sus mensajes SMS.
Además, puede engañarlo para que entregue su contraseña a una aplicación de banca móvil generando una ventana de inicio de sesión falsa en su teléfono.
Sin embargo, a veces recopilar una contraseña no es suficiente para ingresar a sus cuentas de Internet.
Cada vez más, los usuarios protegen sus propiedades en línea más importantes al agregar un segundo paso al proceso de inicio de sesión.
Esta configuración, conocida como autenticación de dos factores, requiere que cualquier persona que inicie sesión también ingrese un código de acceso especial generado en el teléfono inteligente del titular de la cuenta para obtener acceso completo.
Google Authenticator se encuentra entre las aplicaciones de seguridad que pueden generar los códigos de acceso especiales que se utilizan para los sistemas de autenticación de dos factores.
Pero parece que los creadores de Cerberus están trabajando en una forma de robar los códigos 2FA de la propia aplicación.
“Cuando la aplicación se está ejecutando, el troyano puede obtener el contenido de la interfaz y enviarlo al servidor C2 (comando y control)”, escribió ThreatFabric en un informe esta semana.
"Una vez más, podemos deducir que esta funcionalidad se utilizará para omitir los servicios de autenticación que se basan en códigos (de acceso único)".
Afortunadamente, la capacidad tiene una gran limitación: el propietario del teléfono Android infectado debe ser engañado para que le otorgue acceso al malware a la interfaz de la aplicación Google Authenticator.
Para lograrlo, Cerberus pretenderá ser una aplicación como "Flash Player" y luego exigirá que el usuario le otorgue los privilegios del Servicio de Accesibilidad de Android, que están diseñados para ayudar a las personas con discapacidades a usar su teléfono.
Sin embargo, los mismos privilegios pueden ser bastante poderosos y en las manos equivocadas pueden allanar el camino para la toma de control de un dispositivo malicioso.
“Mientras la víctima no lo haya otorgado, el troyano lo pedirá”, dijo el gerente general de ThreatFabric, Gaetan van Diemen, a Daxdi en un correo electrónico.
"Una vez concedido, el bot podrá leer / visualizar toda la información en la pantalla del dispositivo infectado, pero también hacer clic e interactuar con ese contenido".
Para robar los códigos del Autenticador de Google, el troyano Cerberus simplemente iniciará la aplicación, luego copiará y cargará el contenido en el servidor de comando y control del malware, agregó.
Por ahora, los creadores de Cerberus aún no han anunciado la capacidad de robo de código de Google Authenticator.
"Por lo tanto, creemos que esta variante de Cerberus aún se encuentra en la fase de prueba, pero podría lanzarse pronto", advirtió ThreatFabric en su informe.
Desde junio pasado, los creadores de Cerberus han alquilado el acceso al malware en un foro de piratería ruso, a precios que comienzan en 4.000 dólares por tres meses de acceso.
Depende de los propios clientes propagar el malware, que puede circular a través de enlaces maliciosos en correos electrónicos y mensajes SMS.
Entonces, para evitarlo, debe limitarse a descargar solo aplicaciones de Android desde la tienda oficial de Google Play, que filtra los productos maliciosos.
El propio Google aún tiene que comentar sobre el informe de ThreatFabric.
Sin embargo, la aplicación de autenticación de la empresa no es el único producto 2FA afectado.
Al abusar de los privilegios del Servicio de Accesibilidad, el malware podría robar información de cualquier aplicación en el teléfono inteligente, dijo van Diemen.
