Un malware Android permet de contourner l’authentification 2FA SMS
La société de sécurité Check Point a découvert un groupe de pirates informatiques iranien ayant développé un logiciel malveillant Android capable d’intercepter et de voler les codes d’authentification à deux facteurs (2FA) envoyés par SMS.
Rampant Kitten
Le malware fait partie d’un arsenal d’outils de piratage développé par un groupe que la société a surnommé “Rampant Kitten”.
Check Point affirme que le groupe est actif depuis au moins six ans et qu’il est engagé dans une opération de surveillance continue contre les minorités iraniennes, les organisations anti-régime et les mouvements de résistance tels que :
- l’Association des familles des résidents du camp d’Ashraf et de Liberty (AFALR) ;
- l’Organisation de la résistance nationale d’Azerbaïdjan ;
- le peuple du Baloutchistan.
Ces campagnes font appel à un large éventail de familles de logiciels malveillants, dont quatre variantes du malware sur Windows et une porte dérobée Android dissimulée dans des applications malveillantes.
Les souches de logiciels malveillants sur Windows ont été principalement utilisées pour voler des documents personnels aux victimes, mais aussi les fichiers du client desktop de l’application Telegram, fichiers qui auraient permis aux pirates d’accéder au compte Telegram des victimes.
Les souches des logiciels malveillants Windows ont également permis de voler des fichiers du gestionnaire de mots de passe KeePass, selon la description de la fonctionnalité dans une alerte conjointe des CISA et FBI sur les pirates informatiques iraniens et leurs logiciels malveillants, publiée plus tôt cette semaine.
Vol de SMS 2FA
Si les pirates de Rampant Kitten favorisent les chevaux de Troie sur Windows, ils ont également développé des outils similaires pour Android.
Dans un rapport publié la semaine dernière, les chercheurs de Check Point expliquent avoir également découvert une porte dérobée sur Android développée par le groupe. Cette porte dérobée peut voler la liste de contacts et les SMS de la victime, l’enregistrer discrètement par le biais de son micro et afficher des pages de phishing. Mais la porte dérobée contient également des routines visant spécifiquement à voler les codes 2FA.
Check Point ajoute que le malware intercepte et transmet aux attaquants tout message SMS contenant la chaîne “G-“, généralement utilisée pour préfixer les codes 2FA des comptes Google envoyés aux utilisateurs par SMS.
L’idée est que les opérateurs de Rampant Kitten peuvent utiliser le cheval de Troie Android pour afficher une page de phishing Google, saisir les identifiants du compte de l’utilisateur, puis accéder au compte de la victime. Si cette dernière a activé la fonction 2FA, alors l’outil d’interception des SMS 2FA du malware envoie silencieusement des copies du code SMS 2FA aux attaquants, leur permettant de contourner la double authentification.
Pirater plusieurs types de comptes
Check Point a également trouvé des preuves indiquant que le malware transfère automatiquement tous les SMS entrants de Telegram et d’autres applications de réseaux sociaux. Ce type de message contient également des codes 2FA, et il est très probable que le groupe utilise cette fonctionnalité pour contourner l’authentification multifacteurs d’autres comptes que ceux de Google.
S’il est admis que les groupes de piratage soutenus par des Etats sont généralement capables de contourner la 2FA, il est très rare d’avoir un aperçu de leurs outils et de leur manière de procéder.
Rampant Kitten dispose maintenant de capacités comparables à APT20, un groupe proche de l’Etat chinois qui a déjà réussi à contourner des solutions 2FA hardware l’année dernière.
Source : ZDNet.com
