Cerberus para Android puede pasar el 2FA, y desbloquear de forma remota

Iniciado por AXCESS, Febrero 27, 2020, 05:44:13 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El troyano bancario Cerberus se ha actualizado con la funcionalidad RAT y ahora es capaz de robar los códigos de autenticación de dos factores (2FA) de Google Authenticator de las víctimas utilizados como una capa adicional de seguridad al iniciar sesión en cuentas en línea.

Google Authenticator es la alternativa de Google al 2FA basado en SMS que utiliza una conexión de datos para enviar un código de acceso único (OTP) a través de mensajes de texto, algo que el gigante de la búsqueda frunce el ceño al ver que pueden ser interceptados porque se envían utilizando un operador externo.

Si bien el uso de una aplicación para generar códigos 2FA localmente se ve como una alternativa más segura a los mensajes enviados por SMS, los investigadores de seguridad de la empresa de inteligencia de amenazas móviles ThreatFabric han descubierto una muestra mejorada de troyano bancario Cerberus que ahora también puede registrar y robar información de Google Authenticator.

Esto podría obtener 2FA basado en aplicaciones en el mismo nivel de seguridad que 2FA basado en SMS en un futuro próximo, ya que ahora los códigos pueden ser robados en ambos casos.

Abusar del autenticador de Google

El malware de Android que se detectó por primera vez en junio de 2019 como un troyano bancario común y corriente ahora roba los códigos 2FA de Google Authenticator al abusar de los privilegios de accesibilidad de Android.

"Cuando la aplicación se está ejecutando, el troyano puede obtener el contenido de la interfaz y puede enviarlo al servidor C2", agrega el informe. "Una vez más, podemos deducir que esta funcionalidad se utilizará para omitir los servicios de autenticación que dependen de los códigos OTP".

Estos códigos robados se pueden usar para omitir la capa de seguridad adicional 2FA en servicios en línea como bancos, servicios de correo electrónico, aplicaciones de mensajería y redes sociales, por nombrar solo algunos.

El módulo de robo de código 2FA de Cerberus no es el primero visto en la naturaleza hasta ahora, con casos anteriores de malware que ESET y Symantec han descubierto este truco. Sin embargo, esas cepas apuntaban a la autenticación de dos factores basada en SMS para evitar la protección 2FA.

Módulo RAT completamente operativo


Como también descubrieron los investigadores de seguridad de ThreatFabric, Cerberus ahora tiene capacidades de troyano de acceso remoto (RAT) basadas en TeamViewer diseñadas para proporcionar a sus operadores una funcionalidad RAT completa.

"El servicio RAT puede atravesar el sistema de archivos del dispositivo y descargar su contenido. Además de eso, también puede iniciar TeamViewer y configurar conexiones, proporcionando a los agentes de amenazas acceso remoto completo al dispositivo", dice ThreatFabric.

Los operadores de Cerberus pueden usar este nuevo módulo RAT para administrar aplicaciones en dispositivos Android infectados, cambiar la configuración de un dispositivo y usar cualquiera de las aplicaciones instaladas como el propietario del dispositivo.

La muestra de malware de Android que analizaron también viene con una función de captura de bloqueo de pantalla que utiliza superposiciones, lo que hace posible que los atacantes utilicen la RAT incorporada para desbloquear los dispositivos Android de sus víctimas de forma remota.

"A partir de la implementación de la RAT podemos concluir que este robo de credenciales de bloqueo de pantalla se creó para que los actores puedan desbloquear el dispositivo de forma remota con el fin de realizar fraudes cuando la víctima no está usando el dispositivo", agrega ThreatFabric. "Esto muestra una vez más la creatividad de los delincuentes para construir las herramientas adecuadas para tener éxito".

Hasta que se publicó el informe, ThreatFabric no ha visto intentos de anunciar estas nuevas capacidades en foros subterráneos o canales de YouTube en los que se está vendiendo Cerberus.

Esto sugiere que el malware actualizado todavía está pasando por una fase de prueba en este momento, aunque los investigadores creen que "podría lanzarse pronto".

"Con una lista de objetivos exhaustiva que incluye instituciones de todo el mundo, combinada con su nueva capacidad de RAT, Cerberus es un riesgo crítico para las finanzas que ofrecen servicios de banca en línea", agrega ThreatFabric.

El informe completo disponible aquí también proporciona información actualizada sobre el malware bancario Android Gustuff, Hydra, Ginp y Anubis, junto con una lista de indicadores de compromiso (COI) para todas las muestras de malware analizadas.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta