La verificación en dos pasos es uno de los métodos más seguros que tenemos para evitar que alguien a miles de kilómetros de nosotros pueda acceder a nuestra cuenta. Estos códigos de verificación suelen enviarse por SMS, pero hay multitud de servicios que aceptan Google Authenticator, una de las mejores apps de autenticación en dos pasos. Ahora, han descubierto que esos códigos pueden ser robados.

Así lo han descubierto investigadores de ThreatFabric, que afirman que el troyano Cerberus puede obtener los códigos de verificación 2FA de Google Authenticator. Esta app es uno de los sistemas más seguros de verificación que encontramos en la actualidad, ya que los SMS pueden obtenerse si se está cerca del sujeto, o se puede intentar suplantar su identidad ante el operador para generar un duplicado de SIM. La app de Google combina lo mejor de ambos mundos, y asegura que sólo nosotros podamos acceder a su información ya que los códigos no viajan a través de redes móviles inseguras como sí hacen los SMS.

La app genera códigos de seis dígitos que se resetean cada pocos segundos, y plataformas de pago seguro como PayPal o Binance son compatibles con ella. Sólo alguien con acceso físico al móvil era capaz de obtener los códigos, pero ahora el malware Cerberus, un troyano bancario lanzado en junio de 2019, también puede obtenerlos.

Accesibilidad de Android abre la puerta a robar tus códigos 2FA

Para ello, el malware lo que hace es abusar los privilegios de Accesibilidad de Android, de manera que el troyano pueda obtener información sobre el contenido que se está mostrando en pantalla y enviarlo a un servidor remoto bajo el control del hacker. Estas opciones de accesibilidad suelen ser usadas por aplicaciones de lectura para personas con problemas de visión, las cuales tienen acceso para leer y ver todo lo que se ve en pantalla.

La compañía de seguridad afirma que la versión de Cerberus que es capaz de hacer esto todavía no se está vendiendo en los foros de hackeo ni en la Dark Web, pero sí han detectado que se encuentra en fase de pruebas y que puede ser lanzado dentro de poco.

A pesar de ello, las versiones actuales de Cerberus tienen muchas funcionalidades peligrosas de otros troyanos de acceso remoto (RAT), de manera que puedne controlar un dispositivo infectado de manera remota, incluso acceso a datos como credenciales bancarias o robar las claves de verificación en dos pasos en el caso de que estén presentes en la propia app del banco o en Google Authenticator.

A lo largo de la historia sólo un puñado de grupos de hackeos o malware han conseguido tener acceso a este tipo de claves. Una vez se consiga poner a la venta el malware con las funciones de robo de claves de verificación en dos pasos, se convertirá en uno de los malware más peligrosos que podemos encontrarnos por la red, y que demuestra el cuidado que tenemos que tener al instalar apps de fuera de la Google Play Store, y revisar convenientemente que no le damos permisos de más a las apps, así como revisar de vez en cuando que no se nos ha colado nada sospechoso en Accesibilidad.