Un malware en Android está accediendo a Google Authenticator para leer los códigos temporales de doble factor

Cristian Rus

Google Authenticatores el sistema propuesto por la compañía para generar códigos temporales de 2FA en contraposición a los SMS (queno son tan seguros) cuando iniciamos sesión. Los sistemas 2FA están pensados para dificultar el inicio de sesión indeseado obligando al usuario a verificar dos veces el inicio. Pero,¿qué pasa si el atacante tiene acceso a esa segunda verificación, a Google Authenticator?

Es lo que parece estar sucediendo con el troyano Cerberus para Android, que en su última versión ha sidocapaz de robar códigos generados en la app Google Authenticatory así inutilizar el uso de laautenticación por doble factor. Según uninforme publicado por ThreatFabric, el malware consigue acceder a los códigos de un sólo uso y utilizarlos para iniciar sesiones sin consentimiento del usuario.

Permisos de accesibilidad e ingenio

Cerberus es unmalwareque lleva presente por las redes desde hace unos meses. El troyano fuedescubierto por primera vezel pasado agosto de 2019 y ha estado utilizándose especialmente parainfectar dispositivos con tal de conseguir acceso a cuentas de los usuarios. Normalmente suele encontrarse a la venta en foros ofreciéndose constantemente versiones actualizadas.

Según ThreatFabric, esta última versión que accede a Google Authenticator aún no ha salido a la venta yse encuentra en pruebas, pero creen que lo hará pronto.

Ahora bien, ¿cómo consigue acceder a Google Authenticator? La app de Google para smartphones está protegida con un código de seguridad para su acceso y en principio el resto de aplicaciones no tienen permisos para acceder a la información almacenada. Para evadir esto lo que hace el troyano esutilizar los permisos de accesibilidad, que ofrecen formas alternativas de “leer” la pantallade los smartphones y las apps de él. Abusando de estos permisos de accesibilidad el troyano consigue obtener la información que se muestra en Google Authenticator, es decir, los códigos temporales.

Entre las características de Cerberus, también destaca laposibilidad de acceder remotamente al dispositivo infectado. Según el informe, los atacantes pueden conectarse al smartphone infectado y controlar la información que llega para así coger claves de acceso a servicios donde se requiere inicio de sesión. En el caso de que el inicio de sesión tenga habilitada la autenticación por doble factor, el atacante accede también a Google Authenticator para ver el código temporal.

Elsistema de 2FA es uno de los más seguros que existen actualmente, ya que requiere de que se verifique el inicio de sesión mediante dos formas distintas. Generalmentemuy pocos casosconocidos se han dado en los que unmalwarehaya conseguido romper 2FA, aunque Cerberus ahora es un ejemplo más de que es posible.

Vía |Android CentralMás información |ThreatFabric