Les chevaux de Troie s’adaptent aussi au MFA
Une variante du trojan bancaire Aberebot a émergé. Elle est capable d’intercepter des codes MFA sur Google Authenticator.
Dans quelle mesure le phishing s’adapte-t-il à l’authentification multifacteur (MFA) ? Il y a quelques mois, des chercheurs de l’université Stony Brook (New York) et de Palo Alto Networks publiaient un rapport d’étude à ce sujet. Ils y mettaient en lumière des toolkits « nouvelle génération » capables d’intercepter codes en jouant sur un mécanisme de proxy inversé.
Certains chevaux de Troie se sont aussi mis à la mode MFA. Aberebot en fait partie. Ses premières traces remontent à l’été 2021. Déguisé en Google Chrome, il pouvait notamment – à condition d’avoir obtenu la permission – accéder aux SMS. Et analyser lesquels contenaient des suites de chiffres susceptibles d’être des codes MFA. Codes qu’il pouvait alors collecter.
New sample: https://t.co/0NnT2iZ45a pic.twitter.com/kFSvllyIdS
— Alberto Segura (@alberto__segura) July 27, 2021
Une variante d'Aberebot semble circuler depuis quelques semaines dans le milieu cybercriminel. Son nom : Escobar. Elle est cette fois déguisée en application McAfee, toujours pour Android (com.escobar.pablo). Aux capacités de son prédécesseur, elle ajoute, entre autres, l'enregistrement audio et le contrôle à distance par VNC. Mais aussi la collecte de codes MFA sur l'application Google Authenticator.
Escobar demande pas moins de 25 permissions. Dont une quinzaine d'ordre critique. Cela va de l'accès à la géolocalisation à l'émission d'appels en passant par la désactivation du verrouillage d'écran.
Possible interesting, very low detected "McAfee9412.apk": a9d1561ed0d23a5473d68069337e2f8e7862f7b72b74251eb63ccc883ba9459f
From: https://cdn.discordapp[.]com/attachments/900818589068689461/948690034867986462/McAfee9412.apk
"com.escobar.pablo"
😂 pic.twitter.com/QR89LV4jat— MalwareHunterTeam (@malwrhunterteam) March 3, 2022
Illustration principale © maxkabakov - Fotolia