El malware de Android logra eludir la autenticación de dos factores al obtener códigos SMS, revela una investigación
los Autenticación de dos factores Es una de las medidas más relevantes que podemos tomar a la hora de proteger los datos. Por medio de él, se requiere una segunda confirmación además de la contraseña al realizar un inicio de sesión. Sin embargo, no significa que sea impenetrable. Una nueva investigación refleja cómo un grupo de hackers ha creado malware capaz de eludir este método de seguridad.
La investigación ha sido publicado por la empresa de seguridad Check Point, en él recopilan una serie de herramientas utilizadas por un grupo de piratas informáticos iraníes para acceder a los dispositivos de sus víctimas. Aunque se desconoce la identidad exacta de este grupo, creen que se asocia con el gobierno del país al apuntar a diferentes grupos minoritarios opuestos al gobierno. Entre estas herramientas de malware, la que le permite eludir el método 2FA es especialmente relevante. En febrero, apareció otro malware similar, accediendo a la aplicación de autenticación de dos factores de Google.
Puerta trasera y reenvío de SMS
Como se detalla, es un malware diseñado para dispositivos Android que permite crear una puerta trasera en los teléfonos. Al introducir esto malware en los dispositivos de las víctimas, los piratas informáticos podían obtener la lista de contactos o los mensajes SMS enviados y recibidos, así como las grabaciones realizadas con el micrófono sin permiso o abriendo páginas web falsas.
Con estas capacidades de control de dispositivos, el grupo puede evitar la autenticación de dos factores con relativa facilidad. En general, la autenticación de dos pasos envía un SMS al usuario cuando va a iniciar sesión y debe confirmar el código de ese SMS al iniciar sesión. El código se envía a un número de teléfono que el usuario ha indicado previamente. Es una medida correcta para evitar inicios de sesión no autorizados, aunque no la más eficaz de todas ya que se ha demostrado repetidamente que los SMS pueden ser interceptados.
Lo que parece ser lo que hace malware encontrado por Check Point es detectar y reenviar automáticamente SMS de verificación doble factor, por ejemplo los de Google que comienzan con ‘G-‘ o algunos de Telegram y otras redes sociales. Asimismo, también abre páginas web de suplantación de identidad a las víctimas haciéndoles creer que es un sitio web confiable. Con este último, obtienen más credenciales sin que la víctima lo sepa.
En este caso, parece que un grupo específico de usuarios (opositores al régimen iraní) fue el objetivo, pero es un aviso de que ningún método de seguridad es invulnerable. Los investigadores afirman haber encontrado el malware en una aplicación de Suecia que enseñó a los hablantes de persa las leyes de conducción en Suecia para obtener una licencia de conducir.
Por muy serio que parezca, la verdad es que la autenticación de dos factores sigue siendo una muy buena forma de proteger los datos y los inicios de sesión. Lo que no es tan bueno es usar SMS como segundo factor, hay mejores opciones como códigos temporales en aplicaciones de autenticación, tokens físico o confirmación de un dispositivo emparejado. Y, por supuesto, activarlo en todos los lugares posibles.
Vía | ZDNet
Más información | Punto de control