Des pirates ont créé un logiciel pour voler des codes SMS pour une authentification à deux facteurs

Le logiciel malveillant a pu voler des codes SMS pour les comptes Google 2FA. Telegram et d’autres réseaux sociaux sont également menacés.

Les experts en sécurité de Check Point ont déclaré qu’un groupe de piratage iranien avait développé un logiciel malveillant Android capable d’intercepter les codes d’authentification à deux facteurs (2FA) envoyés par SMS.

Le logiciel malveillant faisait partie d’un arsenal d’outils de piratage développé par un groupe de pirates nommé Rampant Kitten.

Check Point affirme que le groupe est actif depuis au moins six ans et est impliqué dans une opération de surveillance continue contre les minorités iraniennes, les organisations anti-gouvernementales et les mouvements de résistance tels que :

• Association des familles du camp d’Achraf et des résidents de la liberté (AFALR)
• Organisation de la résistance nationale d’Azerbaïdjan
• peuple du Balouchistan

Les pirates utilisent un large éventail de logiciels malveillants, dont quatre variantes d’ infostealers pour Windows et une porte dérobée Android déguisée à l’intérieur d’applications malveillantes.

Les logiciels malveillants Windows étaient principalement utilisés pour voler des documents personnels ainsi que des fichiers du client de bureau Telegram pour Windows, ce qui permettrait aux pirates d’accéder au compte Telegram de la victime.

De plus, les logiciels malveillants Windows ont également volé des fichiers du gestionnaire de mots de passe KeePass. Ceci est conforme à la description de la fonctionnalité dans une alerte conjointe CISA-FBI sur les pirates iraniens et leurs logiciels malveillants publiée plus tôt cette semaine.

Application pour contourner 2FA

Mais alors que les pirates de Rampant Kitten favorisaient les chevaux de Troie pour Windows, ils développaient également des outils similaires pour Android.

Dans un rapport publié hier, les chercheurs de Check Point ont déclaré avoir également découvert une puissante porte dérobée Android développée par le groupe. La porte dérobée pourrait voler la liste de contacts et les messages SMS de la victime, activer silencieusement le microphone et naviguer vers des pages de phishing.

La porte dérobée contenait également des scripts spécialement conçus pour voler les codes 2FA.

Check Point a déclaré que le malware interceptera et transmettra aux attaquants tout SMS contenant la chaîne "G-", couramment utilisée pour préfixer les codes 2FA pour les comptes Google envoyés aux utilisateurs par SMS.

Les opérateurs de Rampant Kitten sont censés utiliser des chevaux de Troie Android pour forcer l’appareil à ouvrir une page de phishing Google, capturer les informations d’identification de l’utilisateur, puis accéder au compte.

Si la victime avait activé l’authentification à deux facteurs, la fonction de détection de code pourrait envoyer silencieusement des copies du code d’authentification à deux facteurs aux attaquants, permettant ainsi de contourner la protection.

Check Point a également trouvé des preuves que le logiciel malveillant transfère également automatiquement tous les messages SMS entrants de Telegram et d’autres réseaux sociaux. Ces types de messages contiennent également des codes 2FA, et il est fort probable que le groupe ait utilisé cette fonctionnalité pour contourner 2FA sur plus que des comptes Google.

Pour le moment, le logiciel malveillant se fait passer pour une application qui aide les locuteurs du persan en Suède à obtenir un permis de conduire. Cependant, il pourrait également se cacher dans d’autres applications qui ciblent les Iraniens opposés au régime de Téhéran vivant en Iran et au-delà.

Bien qu’il soit généralement admis que les groupes de pirates informatiques parrainés par le gouvernement peuvent généralement contourner l’authentification à deux facteurs de toute façon, nous avons très rarement une idée de leurs outils et de la manière dont ils le font.