El malware Cerberus para Android puede pasar por alto 2FA, desbloquear dispositivos de forma remota

0
699
views

El troyano bancario Cerberus se ha actualizado con la funcionalidad RAT y ahora es capaz de robar los códigos de autenticación de dos factores (2FA) de Google Authenticator de las víctimas utilizados como una capa adicional de seguridad al iniciar sesión en cuentas en línea.

Google Authenticator es la alternativa de Google a 2FA basada en SMS que utiliza una conexión de datos para enviar un código de acceso único (OTP) a través de mensajes de texto.

Si bien el uso de una aplicación para generar códigos 2FA a nivel local se considera una alternativa más segura a los mensajes enviados por SMS, los investigadores de seguridad de la empresa de inteligencia de amenazas móviles ThreatFabric han descubierto una muestra mejorada de troyano bancario Cerberus que ahora también puede registrar y robar información de Google Authenticator.

Esto podría obtener 2FA basado en aplicaciones en el mismo nivel de seguridad que 2FA basado en SMS en un futuro próximo, ya que ahora los códigos pueden ser robados en ambos casos.

Abusar del autenticador de Google

El malware de Android que se detectó por primera vez en junio de 2019  como un troyano bancario común y corriente ahora roba los códigos 2FA de Google Authenticator al abusar de los privilegios de accesibilidad de Android.

“Cuando la aplicación se está ejecutando, el troyano puede obtener el contenido de la interfaz y puede enviarlo al servidor C2”, agrega el informe. “Una vez más, podemos deducir que esta funcionalidad se utilizará para omitir los servicios de autenticación que dependen de los códigos OTP”.

Estos códigos robados se pueden usar para omitir la capa de seguridad adicional 2FA en servicios en línea como bancos, servicios de correo electrónico, aplicaciones de mensajería y redes sociales, por nombrar solo algunos.

El módulo de robo de código 2FA de Cerberus no es el primero visto en la naturaleza hasta ahora, con casos anteriores de malware capaz de este truco descubierto por ESET y Symantec . Sin embargo, esas cepas apuntaban a la autenticación de dos factores basada en SMS para evitar la protección 2FA.

Módulo RAT completamente operativo

Como también descubrieron los investigadores de seguridad de ThreatFabric, Cerberus ahora tiene capacidades de troyano de acceso remoto (RAT) basadas en TeamViewer diseñadas para proporcionar a sus operadores una funcionalidad RAT completa.

“El servicio RAT puede atravesar el sistema de archivos del dispositivo y descargar su contenido. Además de eso, también puede iniciar TeamViewer y configurar conexiones, proporcionando a los agentes de amenazas acceso remoto completo al dispositivo”, dice ThreatFabric.

Los operadores de Cerberus pueden usar este nuevo módulo RAT para administrar aplicaciones en dispositivos Android infectados, cambiar la configuración de un dispositivo y usar cualquiera de las aplicaciones instaladas como el propietario del dispositivo.

La muestra de malware de Android que analizaron también viene con una función de captura de bloqueo de pantalla que usa superposiciones, lo que hace posible que los atacantes usen la RAT incorporada para desbloquear los dispositivos Android de sus víctimas de forma remota.

“A partir de la implementación de la RAT podemos concluir que este robo de credenciales de bloqueo de pantalla se creó para que los actores puedan desbloquear el dispositivo de forma remota con el fin de realizar fraudes cuando la víctima no está usando el dispositivo”, agrega ThreatFabric. “Esto muestra una vez más la creatividad de los delincuentes para construir las herramientas adecuadas para tener éxito”.

 

Hasta que se publicó el informe, ThreatFabric no ha visto intentos de anunciar estas nuevas capacidades en foros subterráneos o canales de YouTube en los que se está vendiendo Cerberus.

Esto sugiere que el malware actualizado todavía está pasando por una fase de prueba en este momento, aunque los investigadores creen que “podría lanzarse pronto”.

“Con una lista de objetivos exhaustiva que incluye instituciones de todo el mundo, combinada con su nueva capacidad de RAT, Cerberus es un riesgo crítico para las finanzas que ofrecen servicios de banca en línea”, agrega ThreatFabric.

El informe completo disponible aquí también proporciona información actualizada sobre el  malware bancario Android Gustuff , Hydra , Ginp y Anubis , junto con una lista de indicadores de compromiso (COI) para todas las muestras de malware analizadas.

 

fuente

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop