O mundo do crime cibernético não para de se aperfeiçoar. São golpes cada vez mais sofisticados para roubar dados, dinheiro, informações dos usuários. Agora, por exemplo, os malwares para Android já podem roubar códigos 2FA do Google Authenticator. Estamos falando de uma nova versão do trojan bancário “Cerberus”. O nível de sofisticação já permite que o mesmo consiga roubar códigos únicos gerados pelo aplicativo Google Authenticator e ignorar contas protegidas por 2FA.
Malwares para Android podem roubar códigos 2FA do Google Authenticator
Pesquisadores de segurança dizem que uma variedade de malware do Android agora pode extrair e roubar códigos de acesso únicos (OTP) gerados pelo Google Authenticator, um aplicativo móvel usado como camada de autenticação de dois fatores (2FA) para muitas contas on-line.
O Google lançou o aplicativo móvel Authenticator em 2010. O aplicativo funciona gerando códigos exclusivos de seis a oito dígitos que os usuários devem inserir nos formulários de login enquanto tentam acessar contas on-line.
O Google lançou o Authenticator como uma alternativa aos códigos de acesso únicos baseados em SMS. Como os códigos do Google Authenticator são gerados no smartphone do usuário e nunca passam por redes móveis inseguras, as contas online que usam códigos do Authenticator como camadas 2FA são consideradas mais seguras do que aquelas protegidas por códigos baseados em SMS.
CERBERUS OBTÉM RECURSOS DE ROUBO DE OTP DO AUTENTICADOR
Em um relatório publicado esta semana, pesquisadores da empresa holandesa de segurança móvel ThreatFabric disseram ter detectado um recurso de roubo de OTP Authenticator em amostras recentes do Cerberus, um trojan bancário para Android relativamente novo, lançado em junho de 2019.
Abusando dos privilégios de acessibilidade, o Trojan agora também pode roubar códigos 2FA do aplicativo Google Authenticator, disse a equipe do ThreatFabric.
Quando o aplicativo [Authenticator] está em execução, o Trojan pode obter o conteúdo da interface e enviá-lo ao servidor [comando e controle], eles acrescentaram.
O ThreatFabric disse que esse novo recurso ainda não está disponível na versão Cerberus anunciada e vendida em fóruns de hackers.
Acreditamos que essa variante do Cerberus ainda está em fase de teste, mas poderá ser lançada em breve, disseram os pesquisadores.
RECURSO DESENVOLVIDO PARA CONTORNAR O 2FA EM CONTAS BANCÁRIAS
Em suma, a equipe ThreadFabric salienta que as versões atuais do Trojan bancário Cerberus são muito avançadas. Eles dizem que o Cerberus agora inclui a mesma variedade de recursos normalmente encontrados em trojans de acesso remoto (RATs), uma classe superior de malware.
Esses recursos do RAT permitem que os operadores da Cerberus se conectem remotamente a um dispositivo infectado, usem as credenciais bancárias do proprietário para acessar uma conta bancária on-line e, em seguida, use o recurso de roubo de OTP do autenticador para ignorar as proteções 2FA na conta – se houver.
Os pesquisadores da ThreatFabric acreditam que o trojan Cerberus provavelmente usará esse recurso para desviar as proteções 2FA baseadas em autenticador em contas bancárias online. No entanto, não há nada que impeça os hackers de ignorarem a 2FA baseada em autenticador em outros tipos de contas. Isso inclui caixas de entrada de email, repositórios de codificação, contas de mídia social, intranets e outros.
Ataque sofisticado
Historicamente, muito poucos grupos de hackers e ainda menos ameaças de malware [ 1 , 2 ] já tiveram a capacidade de ignorar soluções de autenticação multifatorial (MFA).
Se esse recurso funcionar como pretendido e for enviado com o Cerberus, isso colocará o Trojan bancário em uma categoria de elite de tipos de malware.
Os novos recursos do Cerberus são detalhados em um relatório do ThreatFabric que resume todas as atualizações recentes relacionadas ao acesso remoto detectadas nas cepas de malware do Android. O relatório contém informações adicionais sobre outras operações de malware do Android, como Gustuff, Hydra, Ginp e Anubis.
ZDNet
