Les chevaux de Troie s’adaptent aussi au MFA

Clément Bohic,

Une variante du trojan bancaire Aberebot a émergé. Elle est capable d’intercepter des codes MFA sur Google Authenticator.

Dans quelle mesure le phishing s’adapte-t-il à l’authentification multifacteur (MFA) ? Il y a quelques mois, des chercheurs de l’université Stony Brook (New York) et de Palo Alto Networks publiaient un rapport d’étude à ce sujet. Ils y mettaient en lumière des toolkits « nouvelle génération » capables d’intercepter codes en jouant sur un mécanisme de proxy inversé.

Certains chevaux de Troie se sont aussi mis à la mode MFA. Aberebot en fait partie. Ses premières traces remontent à l’été 2021. Déguisé en Google Chrome, il pouvait notamment – à condition d’avoir obtenu la permission – accéder aux SMS. Et analyser lesquels contenaient des suites de chiffres susceptibles d’être des codes MFA. Codes qu’il pouvait alors collecter.

vol OTP
Trojan bancaire, Aberebot avait, pour serveur de commande, un bot Telegram. Il aurait ciblé une vingtaine de pays, dont la France (cliquer pour agrandir).

Une variante d'Aberebot semble circuler depuis quelques semaines dans le milieu cybercriminel. Son nom : Escobar. Elle est cette fois déguisée en application McAfee, toujours pour Android (com.escobar.pablo). Aux capacités de son prédécesseur, elle ajoute, entre autres, l'enregistrement audio et le contrôle à distance par VNC. Mais aussi la collecte de codes MFA sur l'application Google Authenticator.

vol Google Authenticator Escobar
(Cliquer pour agrandir.)

Escobar demande pas moins de 25 permissions. Dont une quinzaine d'ordre critique. Cela va de l'accès à la géolocalisation à l'émission d'appels en passant par la désactivation du verrouillage d'écran.

Illustration principale © maxkabakov - Fotolia