Nuevo malware roba los códigos 2FA de Google Authenticator

Expertos en seguridad descubrieron una nueva variante de malware de Android que puede extraer y robar códigos de acceso únicos (OTP) generados a través de Google Authenticator. Un equipo de investigadores afirmó haber detectado una capacidad de robo de OTP Authenticator en Cerberus, un troyano bancario Android relativamente nuevo lanzado el año pasado. Según los […]

Expertos en seguridad descubrieron una nueva variante de malware de Android que puede extraer y robar códigos de acceso únicos (OTP) generados a través de Google Authenticator.

Un equipo de investigadores afirmó haber detectado una capacidad de robo de OTP Authenticator en Cerberus, un troyano bancario Android relativamente nuevo lanzado el año pasado.

Según los informes, las versiones actuales del troyano bancario poseen varias capacidades avanzadas, como por ejemplo abusa de los privilegios de accesibilidad para robar códigos 2FA. Cuando se abre la aplicación de Google, puede filtrar el contenido de la interfaz y puede enviarlo al servidor controlado del atacante.

¿Cómo funciona el autenticador?

Google lanzó la aplicación móvil Authenticator en 2010 como una alternativa a los códigos de acceso únicos basados ​​en SMS.

La aplicación genera códigos únicos de seis a ocho dígitos, los cuales se deben ingresar en los formularios de inicio de sesión al acceder a una cuenta en linea.

Dado que los códigos de Google Authenticator se generan en teléfonos inteligentes, las cuentas de los usuarios con capas 2FA se consideran más seguras que las protegidas por códigos basados ​​en SMS.

¿Cómo funciona el troyano?

La nueva variante de Cerberus ahora incluye el mismo conjunto de características que generalmente se encuentran en los troyanos de acceso remoto (RAT) avanzados.

· Se puede conectar de forma remota a un dispositivo infectado.
· Puede utilizar las credenciales bancarias del propietario.
· Utiliza la capacidad de robo de autenticación de OTP para evitar las protecciones 2FA en la cuenta, si es necesario.

Esta nueva característica para robar códigos 2FA aún no está disponible en la versión Cerberus que actualmente se anuncia y vende en foros de piratería. “Creemos que esta variante de Cerberus todavía está en la fase de prueba, pero podría lanzarse pronto”, presumen los investigadores.

Los expertos opinan que el troyano Cerberus probablemente se utilizará en cuentas bancarias en línea. Además, no hay nada que les impida pasar por alto 2FA basado en autenticador en otros tipos de cuentas, incluidos correos electrónicos, repositorios de códigos, cuentas de redes sociales, intranets y más.