El nuevo malware de Android omite 2FA y roba contraseñas de un solo uso

Facundo Rojo Gil, CISA,CISM, Analista de Seguridad – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Analista de Seguridad – VINTEGRIS

Estas aplicaciones fueron diseñadas para pasar como BtcTurk, un intercambio de criptomonedas turcas.

Recientemente, se descubrió un nuevo malware para Android en nuevas aplicaciones que pueden pasar por alto la autenticación de dos factores basada en SMS (2FA) sin usar permisos de SMS.

Las aplicaciones maliciosas están disponibles en la plataforma muy confiable Google Play Store.

Las aplicaciones infectadas pueden acceder a contraseñas de un solo uso (OTP) enviadas a través de SMS y correo electrónico a pesar de no poseer los permisos necesarios.

Una vez que se roban las contraseñas de las notificaciones enviadas al dispositivo de destino, estas notificaciones se ocultan de inmediato para que el usuario no sospeche ningún juego sucio.

En pocas palabras, algunas aplicaciones malintencionadas e infectadas pueden leer las notificaciones en su teléfono y robar contraseñas 2FA sin interceptar SMS o correos electrónicos.

Estas aplicaciones fueron diseñadas para pasar como BtcTurk, un intercambio de criptomonedas turcas.

Estas aplicaciones utilizaron el phishing para obtener las credenciales de inicio de sesión del intercambio y tomaron la OTP de las notificaciones que se mostraban en la pantalla de un dispositivo comprometido.

La primera aplicación de este tipo se cargó en Google Play Store el 7 de junio y se tituló BTCTurk Pro Beta, mientras que el nombre de desarrollador también se mencionó como BTCTurk Pro Beta.

Esta aplicación fue instalada por más de 50 usuarios hasta se alertó a los equipos de seguridad de Google.

Cointelegraph informó a principios de este mes que el exchange de criptomonedas peer-to-peer (P2P) BitMEX había reportado un influjo de ataques en las credenciales de las cuentas de usuario.

En esta alerta a los clientes, el exchange destacó la importancia de las medidas de seguridad para la propiedad.

Durante el mes de junio, investigadores de ciberseguridad encontraron un sitio web de propagación de troyanos que se hacía pasar por el de Cryptohopper, en dicho sitio los usuarios pueden programar herramientas para el comercio automatizado de criptomonedas.

 

 

Por Facundo Rojo Gil, CISA,CISM, Analista de Seguridad – VINTEGRIS