Un malware en Android consigue saltarse la autenticación de doble factor obteniendo los códigos SMS, desvela una investigación

Cristian Rus

Laautenticación de doble factores una de las medidas más relevantes que podemos tomar a la hora de proteger los datos. Mediante ella se requiere de una segunda confirmación aparte de la contraseña a la hora de realizar un inicio de sesión. Ahora bien,no significa que sea impenetrable. Una nueva investigación refleja cómo un grupo de hackers ha creado un malware capaz de burlar este método de seguridad.

La investigaciónha sido publicadapor la empresa de seguridad Check Point, en ella recopilan una serie deherramientas utilizadas por un grupo de hackers iraníespara obtener acceso a dispositivos de sus víctimas. Si bien no se sabe la identidad exacta de este grupo, creen que está asociado al gobierno del país al tener como objetivos diferentes grupos minoritarios opositores al gobierno. Entre estas herramientas de malware, es especialmente relevante la que permite saltarse el método 2FA. En febreroaparecióotro malware similar que accedía a la app de autenticación de doble factor de Google.

Puerta trasera y reenvío de SMSs

Según detallan, se trata de unmalwarediseñado para dispositivos Android que permite crear una puerta traseraen los teléfonos. Mediante la introducción de estemalwareen los dispositivos de las víctimas, los hackers podían obtener la lista de contactos o los mensajes SMS enviados y recibidos, así como grabaciones hechas con el micrófono sin permiso o apertura de páginas web falsas.

Con estas capacidades de control de un dispositivo el grupopuede conseguir saltarse la autenticación de doble factorde forma relativamente sencilla. En líneas generales, la autenticación en dos pasos envía un SMS al usuario cuando va a iniciar sesión y debe confirmar el código de ese SMS en el inicio de sesión. El código se envía a un número de teléfono que el usuario ha indicado previamente. Es una medida correcta para evitar inicios de sesión no autorizados, aunque no la más efectiva de todas al demostrarse en repetidas ocasiones que se pueden interceptar SMSs.

Lo que parece ser que hace elmalwareencontrado por Check Point esdetectar y reenviar automáticamente SMSs que sean de verificaciónde doble factor, por ejemplo los de Google que empiezan por ‘G-’ o algunos de Telegram y otras redes sociales. Así mismo, también abre páginas web dephishinga las víctimas haciéndoles creer que es una web fiable. Con esto último consiguen más credenciales sin que la víctima se entere.

En este caso parece ser que se apuntaba a un grupo concreto de usuarios (opositores al régimen de Irán), pero esun aviso de que ningún método de seguridad es invulnerable. Los investigadores dicen haber encontrado elmalwareen una app de Suecia que enseñaba a hablantes persa las leyes de conducción en Suecia para obtener el permiso de conducir.

Por grave que suene, lo cierto es que la autenticación de doble factorsigue siendo una muy buena forma de proteger los datos y los inicios de sesión. Lo queno es tan bueno es utilizar el SMScomo segundo factor,hay opciones mejorescomo los códigos temporales en apps de autenticación,lostokensfísicoso la confirmación desde una dispositivo vinculado. Y, por supuesto,activarlo en todos los lugares posibles.

Vía |ZDNetMás información |Check Point