Google Authenticator es el sistema propuesto por la compañía para generar códigos temporales de 2FA en contraposición a los SMS (que no son tan seguros) cuando iniciamos sesión. Los sistemas 2FA están pensados para dificultar el inicio de sesión indeseado obligando al usuario a verificar dos veces el inicio. Pero, ¿qué pasa si el atacante tiene acceso a esa segunda verificación, a Google Authenticator?

Es lo que parece estar sucediendo con el troyano Cerberus para Android, que en su última versión ha sido capaz de robar códigos generados en la app Google Authenticator y así inutilizar el uso de la autenticación por doble factor. Según un informe publicado por ThreatFabric, el malware consigue acceder a los códigos de un sólo uso y utilizarlos para iniciar sesiones sin consentimiento del usuario.

Google Authenticator

Permisos de accesibilidad e ingenio

Cerberus es un malware que lleva presente por las redes desde hace unos meses. El troyano fue descubierto por primera vez el pasado agosto de 2019 y ha estado utilizándose especialmente para infectar dispositivos con tal de conseguir acceso a cuentas de los usuarios. Normalmente suele encontrarse a la venta en foros ofreciéndose constantemente versiones actualizadas.

Según ThreatFabric, esta última versión que accede a Google Authenticator aún no ha salido a la venta y se encuentra en pruebas, pero creen que lo hará pronto.

Abec5896 0e64 4b44 Ad87 7a8081b1a5c9

Ahora bien, ¿cómo consigue acceder a Google Authenticator? La app de Google para smartphones está protegida con un código de seguridad para su acceso y en principio el resto de aplicaciones no tienen permisos para acceder a la información almacenada. Para evadir esto lo que hace el troyano es utilizar los permisos de accesibilidad, que ofrecen formas alternativas de «leer» la pantalla de los smartphones y las apps de él. Abusando de estos permisos de accesibilidad el troyano consigue obtener la información que se muestra en Google Authenticator, es decir, los códigos temporales.

Entre las características de Cerberus, también destaca la posibilidad de acceder remotamente al dispositivo infectado. Según el informe, los atacantes pueden conectarse al smartphone infectado y controlar la información que llega para así coger claves de acceso a servicios donde se requiere inicio de sesión. En el caso de que el inicio de sesión tenga habilitada la autenticación por doble factor, el atacante accede también a Google Authenticator para ver el código temporal.

El sistema de 2FA es uno de los más seguros que existen actualmente, ya que requiere de que se verifique el inicio de sesión mediante dos formas distintas. Generalmente muy pocos casos conocidos se han dado en los que un malware haya conseguido romper 2FA, aunque Cerberus ahora es un ejemplo más de que es posible.

Fuente: xataka.com

Compartir