Novo malware no Android consegue roubar códigos do Google Authenticator

Um novo malware — e com alto potencial de perigo — está fazendo as rondas em smartphones Android. Segundo levantamento da empresa de segurança Threatfabric, uma variação derivativa do trojan bancário Cerberus agora é capaz de roubar códigos do Google Authenticator, aplicativo usado para acesso de contas com segurança de autenticação em dois fatores habilitada (2FA).

O método de segurança 2FA consiste, basicamente, em adicionar uma camada de proteção extra em plataformas acessíveis por meio de nome de usuário e senha. A grosso modo, você insere suas credenciais de acesso e, ao invés de ir direto ao painel de sua conta, o sistema lhe envia um código aleatório que você deve inserir em um campo específico. O código muda a cada novo acesso, ampliando a segurança de sua conta.

O Cerberus, comumente usado para golpes bancários, parece ter estabelecido essa variante justamente para obter códigos de acesso a plataformas financeiras: empresas de pagamento digital, como Paxum e PayPal, comumente dependem desse tipo de recurso para permitir o login de usuário. Segundo a Threatfabric, essa nova versão do trojan apareceu em janeiro de 2020.

“Abusando dos privilégios de acessibilidade [do Android], o trojan consegue agora roubar códigos 2FA do aplicativo Google Authenticator. Quando o app está aberto, o trojan rouba o conteúdo de sua interface e o envia para um servidor C2 (Comando e controle). Novamente, podemos deduzir que essa funcionalidade poderá ser usada para transpor sistemas de autenticação que dependam de códigos de inserção única (OTP)”, diz um trecho do sumário do levantamento. "OTP" significa "One-Time Pin Code", ou "Código Único PIN", na tradução literal.

A empresa de segurança informa, porém, que essa nova ameaça ainda não tem muita publicidade, nem mesmo em comunidades hacker e de invasores de sistemas, o que a leva a acreditar que isso ainda está sendo empregado em caráter de teste.

O Google Authenticator é tido como o app mais seguro dedicado exclusivamente ao fornecimento de códigos de acesso 2FA para plataformas que exijam login e senha. Muitos bancos e empresas de pagamento o fazem, mas a questão pode ir além: diversas empresas de e-commerce, marketplaces de jogos digitais e algumas redes sociais também fazem uso da verificação em dois passos antes de conceder o acesso a uma conta.

Até o momento, a Threatfabric não indicou nenhuma forma de impedir ou mesmo prevenir que o trojan infecte seu aparelho Android, mas ela ressalta que o mesmo problema não foi encontrado em dispositivos iOS. E como o Google também não teceu qualquer comentário até o momento, valem as dicas padronizadas de segurança:

1. Sempre mantenha a versão mais recente do Android instalada no seu aparelho
2. Aplicativos instalados também devem ser regularmente atualizados: o Google costuma fazer isso automaticamente, mas é possível “forçá-lo” a rodar buscas ao acessar a Play Store, clicar no ícone “sanduíche” (os três traços empilhados no canto superior) e selecionar a opção “Meus apps e jogos” — aqui, basta clicar em “Atualizar tudo”
3. Evite abrir links suspeitos enviados por e-mail, WhatsApp ou outros mensageiros instantâneos: caso o link venha de algum contato seu, tente questioná-lo ou avisá-lo de outra forma (ligando para ele, por exemplo)
4. Cuidado com links postados em redes sociais, sobretudo stories de Instagram e Facebook: em alguns casos, eles podem direcioná-lo a formulários falsos que pedem pelo cadastro de dados apenas para roubo de informações

Fonte: ZDNet