Un malware en Android está accediendo a Google Authenticator para leer los códigos temporales de doble factor

Google Authenticator es el sistema propuesto por la compañía para generar códigos temporales de 2FA en contraposición a los SMS (que no son tan seguros) cuando iniciamos sesión. Los sistemas 2FA están pensados para dificultar el inicio de sesión indeseado obligando al usuario a verificar dos veces el inicio. Pero, ¿qué pasa si el atacante tiene acceso a esa segunda verificación, a Google Authenticator?

Es lo que parece estar sucediendo con el troyano Cerberus para Android, que en su última versión ha sido capaz de robar códigos generados en la app Google Authenticator y así inutilizar el uso de la autenticación por doble factor. Según un informe publicado por ThreatFabric, el malware consigue acceder a los códigos de un sólo uso y utilizarlos para iniciar sesiones sin consentimiento del usuario.

Google Authenticator
Permisos de accesibilidad e ingenio

Cerberus es un malware que lleva presente por las redes desde hace unos meses. El troyano fue descubierto por primera vez el pasado agosto de 2019 y ha estado utilizándose especialmente para infectar dispositivos con tal de conseguir acceso a cuentas de los usuarios. Normalmente suele encontrarse a la venta en foros ofreciéndose constantemente versiones actualizadas.

Según ThreatFabric, esta última versión que accede a Google Authenticator aún no ha salido a la venta y se encuentra en pruebas, pero creen que lo hará pronto

Ahora bien, ¿cómo consigue acceder a Google Authenticator? La app de Google para smartphones está protegida con un código de seguridad para su acceso y en principio el resto de aplicaciones no tienen permisos para acceder a la información almacenada. Para evadir esto lo que hace el troyano es utilizar los permisos de accesibilidad, que ofrecen formas alternativas de “leer” la pantalla de los smartphones y las apps de él. Abusando de estos permisos de accesibilidad el troyano consigue obtener la información que se muestra en Google Authenticator, es decir, los códigos temporales.

Entre las características de Cerberus, también destaca la posibilidad de acceder remotamente al dispositivo infectado. Según el informe, los atacantes pueden conectarse al smartphone infectado y controlar la información que llega para así coger claves de acceso a servicios donde se requiere inicio de sesión. En el caso de que el inicio de sesión tenga habilitada la autenticación por doble factor, el atacante accede también a Google Authenticator para ver el código temporal.

Este malware para Android se está reinstalando solo incluso al restaurar de fábrica el móvil

Este malware para Android se está reinstalando solo incluso al restaurar de fábrica el móvil
El sistema de 2FA es uno de los más seguros que existen actualmente, ya que requiere de que se verifique el inicio de sesión mediante dos formas distintas. Generalmente muy pocos casos conocidos se han dado en los que un malware haya conseguido romper 2FA, aunque Cerberus ahora es un ejemplo más de que es posible.

⁣⁣

tor?utm_source=NEWSLETTER&utm_medium=DAILYNEWSLETTER&utm_content=POST&utm_campaign=28_Feb_2020+Xataka&utm_term=CLICK+ON+TITLE” target=”_blank” rel=”noopener noreferrer”>Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies