Malware de Android accede a Google Authenticator para leer códigos temporales de doble factor
Cerberus es un malware troyano que viola la verificación por doble autenticación de Google Authenticator. Imagen: Referencial
Cerberus, un malware troyano de Android, se ha desarrollado para robar códigos de Google Authenticator e inhabilitar la autenticación por doble factor.
Google Authenticator es el sistema propuesto por la compañía para generar códigos temporales de 2FA en contraposición a los SMS (que no son tan seguros) cuando iniciamos sesión. Los sistemas 2FA están pensados para dificultar el inicio de sesión indeseado obligando al usuario a verificar dos veces el inicio.
Ahora bien, ¿qué pasa si el atacante tiene acceso a esa segunda verificación, a Google Authenticator?
Pues eso es lo que sucede con Cerberus. Según un informe publicado por ThreatFabric, el malware consigue acceder a los códigos de un sólo uso y utilizarlos para iniciar sesiones sin consentimiento del usuario.
Cerberus es un malware que está presente por las redes desde hace unos meses. El troyano fue descubierto por primera vez en agosto de 2019 y ha estado utilizándose especialmente para infectar dispositivos con tal de conseguir acceso a cuentas de los usuarios. Normalmente suele encontrarse a la venta en foros ofreciéndose constantemente versiones actualizadas.
Según ThreatFabric, esta última versión que accede a Google Authenticator aún no ha salido a la venta y se encuentra en pruebas, pero creen que lo hará pronto.
Ahora bien, ¿cómo consigue acceder a Google Authenticator? La app de Google para smartphones está protegida con un código de seguridad para su acceso y en principio el resto de aplicaciones no tienen permisos para acceder a la información almacenada. Para evadir esto lo que hace el troyano es utilizar los permisos de accesibilidad, que ofrecen formas alternativas de «leer» la pantalla de los smartphones y las apps de él. Abusando de estos permisos de accesibilidad el troyano consigue obtener la información que se muestra en Google Authenticator, es decir, los códigos temporales.
Entre las características de Cerberus, también destaca la posibilidad de acceder remotamente al dispositivo infectado. Según el informe, los atacantes pueden conectarse al smartphone infectado y controlar la información que llega para así coger claves de acceso a servicios donde se requiere inicio de sesión. En el caso de que el inicio de sesión tenga habilitada la autenticación por doble factor, el atacante accede también a Google Authenticator para ver el código temporal.
El sistema de 2FA es uno de los más seguros que existen actualmente, ya que requiere de que se verifique el inicio de sesión mediante dos formas distintas. Generalmente muy pocos casos conocidos se han dado en los que un malware haya conseguido romper 2FA, aunque Cerberus ahora es un ejemplo más de que es posible.
Con información de Xataka.
