Malware no Android ataca 2FA
Os mais modernos aplicativos utilizam uma forma de autenticação suplementar à senhas chamado "Autenticação de 2 Fatores" (ou 2FA - Two Factor Authentication), uma segunda confirmação do usuário, além de seu login/senha, para acesso a sistemas diversos.
CIFRA EXTREMA também utiliza autenticação 2FA para usuários (e TOKEN para as estações), permitindo que, mesmo que o login/senha do usuário sejam descobertas, o acesso ao programa seja realizado apenas após a confirmação de um número, enviado via SMS diretamente ao telefone do usuário. Sem esta confirmação, o acesso não é efetivado.
Esta metodologia é utilizada principalmente por Bancos, evitando que pessoas tenham acesso não autorizado online às Contas-Correntes. Não há no momento nada mais seguro como metodologia adicional ao processo normal de identificação do usuário. Mas, sabendo disso, o pessoal do Black Market prepara cavalos-de-troia (Trojan) e malwares que buscam interceptar tal procedimento.
Obviamente que o atacante precisa saber o login, a senha e o fator 2FA para acesso completo. Logo, dispositivos móveis são então os alvos mais coerentes para este tipo de ataque.
Um novo Trojan para área financeira, destinada a enganar uma chamada de voz baseada em autorização de dois fatores sistemas, tem como alvo dispositivos Android, de acordo com pesquisadores de segurança da Symantec.
A nova ameaça, detectada pela Symantec como Android.Bankosy, é um de malware que rouba informações e que inclui, além das funções típicas dos já conhecidos Trojans, a capacidade de simular chamadas de voz, reencaminhando-as para outro destino.
Como resultado, ele pode interceptar os códigos de autorização de 2-Fatores, mesmo quando eles são transmitidos através de chamadas de voz, um sistema já empregado por numerosos bancos, como explicado neste blog.
O Android.Bankosy também tem a capacidade de interceptar mensagens SMS, apagar mensagens SMS, limpar os dados, e outros comandos suportados por Trojans financeiros, além da capacidade de permitir o reencaminhamento de chamadas no dispositivo infectado.
Além do mais, inclui suporte para ativar e desativar o modo silencioso e para bloquear o dispositivo, o que significa que as vítimas não são sequer alertadas durante uma chamada. A função é especialmente útil em dispositivos infectados na região Ásia-Pacífico, onde a maioria das operadoras possuem um código de serviço especial para ativar ou desativar o encaminhamento de chamadas, afirmou a Symantec.
Uma vez que o encaminhamento de chamadas tiver sido definido no dispositivo da vítima, o atacante pode iniciar operações, especialmente se ele já tiver furtado as "credenciais eletrônicas" da vítima - que é o 1o Fator de Autenticação, num esquema de 2-Fatores. Assim que o sistema exigir que a vítima entre no 2o-Fator de autenticação, o atacante intercepta a chamada via encaminhamento de chamadas e, em seguida, pode completar a transação.
