Este malware para Android puede robar códigos 2FA de Google Authenticator
Una cepa de malware para Android que se está vendiendo a los ciberdelincuentes ha adquirido una capacidad aterradora. Ahora intenta robar códigos de dos factores de la aplicación Google Authenticator.
Fue reportado por primera vez por ZDNet. La firma de seguridad holandesa ThreatFabric descubrió la característica en una nueva variante del troyano Cerberus para Android. Dicho malware está diseñado para robar el acceso a las cuentas bancarias de las personas secuestrando sus teléfonos inteligentes.
Nueva funcionalidad
Si se instala correctamente, Cerberus es capaz de registrar tus pulsaciones de teclas y recolectar todos tus mensajes SMS. Además, puede engañarte para que entregues tu contraseña a una aplicación de banca móvil generando una ventana de inicio de sesión falsa en tu teléfono.
Sin embargo, a veces recopilar una contraseña no es suficiente para entrar en tus cuentas de Internet. Cada vez más, los usuarios protegen sus propiedades en línea más importantes al agregar un segundo factor al proceso de inicio de sesión. Esta configuración es conocida como autenticación de dos factores. Esta requiere que cualquier persona que inicie sesión también escriba una contraseña especial generada en el teléfono inteligente del titular de la cuenta para obtener acceso completo.
Google Authenticator se encuentra entre las aplicaciones que pueden generar los códigos de acceso especiales utilizados para los sistemas de autenticación de dos factores. Pero parece que los creadores de Cerberus están trabajando en una forma de robar los códigos 2FA desde la aplicación misma.
“Cuando la aplicación se está ejecutando, el troyano puede obtener el contenido de la interfaz y puede enviarlo al servidor C2 (comando y control)”. Esto según el informe de ThreatFabric publicado esta semana. “Una vez más, podemos deducir que esta funcionalidad se utilizará para omitir los servicios de autenticación que se basan en códigos (de una sola vez)”.
Limitación del malware
Afortunadamente, la nueva capacidad del malware tiene una gran limitación. El propietario del teléfono Android infectado debe ser engañado para que otorgue acceso al malware a la interfaz de la aplicación Google Authenticator.
Para lograr esto, Cerberus fingirá ser una aplicación como “Flash Player”. Luego exigirá al usuario que le otorgue los privilegios del Servicio de Accesibilidad de Android. Estos están diseñados para ayudar a las personas con discapacidad a usar su teléfono. Sin embargo, los mismos privilegios pueden ser bastante poderosos y, en manos equivocadas, pueden allanar el camino para una toma de control maliciosa del dispositivo.
“Mientras la víctima no lo haya otorgado, el troyano lo pedirá”, dijo el gerente general de ThreatFabric, Gaetan van Diemen, a PCMag en un correo electrónico. “Una vez otorgado, el bot podrá leer/visualizar toda la información en la pantalla del dispositivo infectado, pero también podrá hacer clic e interactuar con ese contenido”.
Para robar los códigos de Google Authenticator, el troyano Cerberus simplemente iniciará la aplicación. Luego copiará y cargará el contenido en el servidor de comando y control del malware, agregó.
Por ahora, la capacidad de robo de código de Google Authenticator aún no ha sido anunciada por los creadores de Cerberus. “Por lo tanto, creemos que esta variante de Cerberus todavía está en la fase de prueba, pero podría lanzarse pronto”, advirtió ThreatFabric en su informe.
Malware en alquiler
Desde junio pasado, los creadores de Cerberus han estado alquilando el acceso al malware en un foro de hacking ruso. Los precios del alquiler comienzan en $4,000 por tres meses de acceso. Depende de los propios clientes difundir el malware, que puede circular a través de enlaces maliciosos en correos electrónicos y mensajes SMS. Por lo tanto, para evitarlo, debes seguir descargando solo aplicaciones de Android desde la tienda oficial de Google Play, que filtra los productos maliciosos.
El propio Google aún no ha comentado sobre el informe de ThreatFabric. Sin embargo, la aplicación de autenticación de la compañía no es el único producto 2FA afectado. Al abusar de los privilegios del Servicio de Accesibilidad, el malware podría robar información de cualquier aplicación en el teléfono inteligente, dijo van Diemen.