A autenticação de dois fatores é uma das maneiras mais seguras de fazer login em uma conta online.

Se esse método puder recorrer ao envio de SMS, a geração de códigos por meio de um aplicativo, como o Google Authentificator, é ainda mais segura, pois não é necessário o envio de mensagens (que podem ser potencialmente interceptadas).

Infelizmente para o Google, seu aplicativo 2FA agora está vulnerável a malware. De acordo com um relatório publicado recentemente pelos pesquisadores de segurança da Threatfabric.

Uma variante do Trojan bancário "Cerberus" conseguiu recentemente detectar os códigos gerados pelo Google Authenticator e explorá-los para fins maliciosos. Para conseguir isso, o malware tira proveito dos recursos de acessibilidade do Android.

"Ao abusar dos privilégios de acessibilidade, esse malware agora pode roubar códigos 2FA do aplicativo Google Authenticator. Quando iniciamos o aplicativo, o malware pode obter o conteúdo da interface e enviá-lo ao servidor C2 (comando e controle). Mais uma vez, pode-se inferir que essa funcionalidade será usada para ignorar serviços de autenticação que dependem de códigos OTP"

Como Threatfabric indica em sua análise, esse novo recurso do Cerberus ainda não parece ser muito comentado em fóruns frequentados por hackers, o que sugere que ele esteja atualmente sendo testado e, portanto, pouco explorado de fato.

No entanto, pode representar uma grande ameaça para muitos serviços usando identificação de dois fatores, seja simplesmente efetuando login na conta do Twitter ou do Google ou pior, em serviços bancários.

Devido ao seu modo de acesso, o malware pode capturar dados de outros aplicativos 2FA, além do Google Authenticator. Portanto é de responsabilidade da Google corrigir essa brecha o quanto antes para evitar maiores problemas no futuro.