Un nuevo malware de Android va a por tus códigos de verificación en dos pasos, ¿eso qué significa?

En los últimos tiempos han proliferado los sistemas de seguridad de verificación en dos pasos (2FA) que suponen una capa más de protección en nuestras cuentas de internet, ya que nos permiten resistir los ataques de hackers que disponen ya de nuestros usuarios y contraseñas de algunas webs que más utilizamos. Gracias a esas herramientas, el acceso depende única y exclusivamente de una clave que tenemos nosotros en nuestro móvil y que cada cierto tiempo se modifica.

Es por eso que su uso se ha extendido muchísimo, bien a través de códigos que nos llegan por SMS, números que se generan gracias a apps de autentificación (como las que tienen Google o Microsoft) o, en el caso más seguro de todos, las llaves de hardware que solo nos permiten el acceso si las tenemos conectadas a nuestro dispositivo. Ya sea un ordenador, un móvil o un tablet.

¿Pero qué ocurre cuándo los hackers buscan romper esas protecciones de doble factor? Pues ese es, precisamente, el escenario por el que nos movemos hoy, ya que la amenaza descubierta por investigadores dentro del ecosistema Android busca realizar ataques a usuarios con el objetivo de robarles esos PIN, patrones de bloqueo y códigos 2FA que se generan cada 60 segundos con Google Authenticator.

Precisamente, ha sido la consultora de seguridad ThreatFabric la que ha alertado de un nuevo malware que opera dentro del OS de Google y que atiende al nombre de Cerberus (¿habéis jugado con Mass Effect?). Se trata de un viejo conocido que tiene capacidades RAT (es decir, es un troyano de acceso remoto) que se introduce en nuestro terminal y que es capaz de registrar las credenciales de desbloqueo de un usuario, lo que incluye números PIN, patrones deslizantes como los que se usan en Android para desbloquear el terminal o, como antes os comentábamos, los códigos de autentificación generados a través de una app.

De esta manera, cuando los piratas consiguen toda esa información, solo tienen que introducir nuestro usuario y contraseña (de Facebook, por ejemplo), a continuación robarnos el código que nos pide del Google Authenticator... y no habrá nadie que los detenga. ¿Te parece un escenario difícil? Pues de ahí que todas las medidas que podamos tomar sean pocas para evitar problemas de esta índole.

Nuestro dinero, el objetivo de los ataques

Obviamente publicar mensajes en Facebook en nuestro nombre puede ser muy divertido (para los hackers) pero lo que realmente andan buscando es nuestro dinero. Nuestras cuentas bancarias. Lugares que intentamos mantener blindados con códigos de autentificación y claves SMS, etc., pero que podrían sucumbir ante un ataque con uno de estos malwares. Además, la forma de funcionar no sería muy distinta: conociendo nuestras claves, solo deben realizar una transferencia con nuestro dinero a una de sus cuentas para completarla en el momento que nos llega la clave SMS de verificación en dos pasos.

De momento, desde ThreatFabric avisan que este troyano está en desarrollo ya que "todavía no se ha hecho publicidad de estas características en foros clandestinos", pero de convertirse en realidad nos pondría en una situación complicada a la hora de mantener a salvo nuestros datos. Por supuesto, y como siempre os comentamos, no instaléis aplicaciones de fuentes que no sean seguras, intentad incluso activar algún tipo de protección antivirus en el terminal y, por supuesto, consultad con vuestro banco qué tipo de operativas podéis seguir para proteger vuestro dinero.