El malware de Android puede robar los códigos 2FA de Google Authenticator



Imagen: ZDNet Los investigadores de seguridad dicen que una cepa de malware de Android ahora puede extraer y robar códigos de acceso únicos (OTP) generados a través de Google Authenticator, una aplicación móvil que se utiliza como una capa de autenticación de dos factores (2FA) para muchas cuentas en línea. Google lanzó la aplicación móvil Authenticator en 2010. La aplicación funciona generando códigos únicos de seis a ocho dígitos que los usuarios deben ingresar en los formularios de inicio de sesión al intentar acceder a las cuentas en línea.
Google lanzó Authenticator como una alternativa a los códigos de acceso únicos basados ​​en SMS. Debido a que los códigos de Google Authenticator se generan en el teléfono inteligente de un usuario y nunca viajan a través de redes móviles inseguras, las cuentas en línea que usan códigos Authenticator como capas 2FA se consideran más seguras que las protegidas por códigos basados ​​en SMS. En un informe publicado esta semana, investigadores de seguridad de la firma holandesa de seguridad móvil ThreatFabric dicen que han descubierto una capacidad de robo de OTP Authenticator en muestras recientes de Cerberus, un troyano bancario Android relativamente nuevo que se lanzó en junio de 2019.
"Abusando de los privilegios de accesibilidad, el troyano ahora también puede robar códigos 2FA de la aplicación Google Authenticator", dijo el equipo de ThreatFabric. "Cuando la aplicación [Authenticator] se está ejecutando, el troyano puede obtener el contenido de la interfaz y enviarlo al servidor [comando y control]", agregaron. ThreatFabric dijo que esta nueva característica aún no está disponible en la versión Cerberus anunciada y vendida en foros de piratería.
"Creemos que esta variante de Cerberus todavía está en la fase de prueba, pero podría lanzarse pronto", dijeron los investigadores. Con todo, el equipo de ThreadFabric señala que las versiones actuales del troyano bancario Cerberus son muy avanzadas. Dicen que Cerberus ahora incluye la misma variedad de características que generalmente se encuentran en los troyanos de acceso remoto (RAT), una clase superior de malware.
Estas características de RAT permiten a los operadores de Cerberus conectarse de forma remota a un dispositivo infectado, usar las credenciales bancarias del propietario para acceder a una cuenta bancaria en línea y luego usar la función de robo de OTP de Autenticador para evitar las protecciones 2FA en la cuenta, si está presente. Los investigadores de ThreatFabric creen que el troyano Cerberus probablemente usará esta función para eludir las protecciones 2FA basadas en Authenticator en cuentas bancarias en línea, sin embargo, no hay nada que impida a los piratas informáticos eludir 2FA basadas en Authenticator en otros tipos de cuentas. Esto incluye bandejas de entrada de correo electrónico, repositorios de codificación, cuentas de redes sociales, intranets y otros.
Históricamente, muy pocos grupos de hackers e incluso menos cepas de malware [1, 2] han tenido la capacidad de eludir las soluciones de autenticación de múltiples factores (MFA). Si esta característica funciona según lo previsto y se envía con Cerberus, esto colocará al troyano bancario en una categoría de élite de cepas de malware. Las nuevas capacidades de Cerberus se detallan en un informe de ThreatFabric que resume todas las actualizaciones recientes relacionadas con el acceso remoto detectadas en cepas de malware de Android.
El informe contiene información adicional sobre otras operaciones de malware de Android, como Gustuff, Hydra, Ginp y Anubis . pag VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı