Android sigue estando a merced de los virus informáticos. Así lo estableció un informe presentado por la empresa de seguridad Threatfabric, que indica que la variante del troyano bancario cerberus está desde enero de 2020 robando credenciales de autenticación de dos factores de Google.
“Abusando de los privilegios de accesibilidad, el troyano ahora también puede robar códigos 2FA de la aplicación Google Authenticator. Cuando la aplicación se está ejecutando, el troyano puede obtener el contenido de la interfaz y puede enviarlo al servidor C2 [comando y control – ed]. Una vez más, podemos deducir que esta funcionalidad se utilizará para omitir los servicios de autenticación que dependen de los códigos OTP «, se lee en un extracto del informe.
¿Qué es exactamente el código 2FA? Se conoce como autenticación de dos factores (Two Factor Authentication por sus siglas en inglés). Básicamente es un número único para poder acceder a tu cuenta, muy similar al número que te da un token bancario. Generalmente puede llegar en forma de mensaje de texto a tu celular o por medio del correo electrónico.
Cómo funciona este troyano en Android
Tal como comenta la gente de Threatfabric, este troyano de acceso remoto que sería la derivación del malware bancario cerberus «puede atravesar el sistema de archivos del dispositivo y descargar su contenido. Además de eso, también inicia TeamViewer y configura conexiones, proporcionando a los agentes de amenazas acceso remoto completo al dispositivo».
«Una vez que TeamViewer está funcionando, proporciona a los actores muchas posibilidades, que incluyen cambiar la configuración del dispositivo, instalar o eliminar aplicaciones, pero sobre todo el uso de cualquier aplicación en el dispositivo (como aplicaciones bancarias, mensajería y aplicaciones de redes sociales). También puede proporcionar información valiosa sobre el comportamiento y los hábitos de la víctima; en caso de ser utilizado para fines de espionaje», explicó.
Google ya había actuado a finales de 2019 contra cerberus para denegar los permisos y bloquear el robo de 2FA para evitar que entren al teléfono vía SMS.
Esto porque el malware cerberus en el pasado usaba mensajes de texto para emitir comandos a un teléfono inteligente perdido o robado, en lugar de una conexión a Internet. Estos comandos incluían bloquear/desbloquear el teléfono, tomar una foto o video a través de la cámara selfie y borrar el almacenamiento. La aplicación también utilizaba el permiso para enviar alertas de texto, como el cambio de las tarjetas SIM.
