Pesquisadores da Threat Fabric, empresa holandesa de segurança digital, descobriram uma nova variedade de malware no Android, capaz de extrair e roubar códigos únicos de acesso (OTP) gerados pelo Google Authenticator — app que usa autenticação de dois fatores (2FA) para proteger contas online. Trata-se de um Trojan Cerberus que foi aprimorado com Trojan de Acesso Remoto (RAT) para desbloquear um dispositivo e visualizar seus dados de modo remoto.
Dessa maneira, o RAT pode ativar o TeamViewer e configurar conexões, além alterar e acessar apps de todo o tipo — redes sociais, e-mails, bancos, etc. Com isso, ainda entrega aos criminosos indícios de comportamento das vítimas, caso o objetivo seja espioná-las. Para chegar a esse nível de invasão, é utilizada uma simples sobreposição de tela, a qual exige que o usuário realize seu desbloqueio.
“A partir da implementação do RAT, podemos concluir que esse roubo de credencial de bloqueio de tela foi construído para que os atores possam desbloquear remotamente o dispositivo, a fim de realizar uma fraude quando ele não estiver em uso pela vítima”, explicou a Threat Fabric em uma publicação.
Assim, o Trojan aproveita esses privilégios para roubar os códigos 2FA do Google Authenticator, uma vez que, quando o app de segurança estiver em execução, o malware pode visualizar o conteúdo de sua interface e enviá-lo a um servidor.
Contudo, segundo os especialistas da empresa, a atualização não está disponível em fóruns de hackers. “Acreditamos que essa variante do Cerberus ainda está em fase de teste, mas poderá ser lançada em breve”, alertaram os analistas.
Fontes