Un malware Android contourne 2FA, cible Telegram et Gmail

Une nouvelle souche de malware Android a été découverte, dans le cadre de la vaste campagne de surveillance du groupe Rampant Kitten qui cible les identifiants Telegram et plus encore.

Les chercheurs ont découvert un groupe lançant des campagnes de surveillance qui ciblent les données des appareils personnels des victimes, les informations d’identification du navigateur et les fichiers de l’application de messagerie Telegram. Un outil notable dans l’arsenal du groupe est un logiciel malveillant Android qui collecte tous les codes de sécurité d’authentification à deux facteurs (2FA) envoyés aux appareils, détecte les informations d’identification Telegram et lance les attaques d’hameçonnage de compte Google.

Les chercheurs ont découvert que le groupe, surnommé Rampant Kitten, ciblait des entités iraniennes avec des campagnes de surveillance depuis au moins six ans. Il cible spécifiquement les minorités iraniennes et les organisations anti-régime, y compris l’Association des familles du camp d’Achraf et des résidents de Liberty (AFALR) et l’Organisation nationale de résistance d’Azerbaïdjan.

Le groupe s’est appuyé sur un large éventail d’outils pour mener à bien ses attaques, y compris quatre variantes de voleur d’informations Windows utilisées pour voler les informations de compte Telegram et KeePass, pages d’hameçonnage qui usurpent l’identité de Telegram pour voler des mots de passe et la porte dérobée Android susmentionnée qui extrait les codes 2FA des messages SMS et enregistre l’environnement vocal du téléphone.

«Suivre les traces de cette attaque a révélé une opération à grande échelle qui a largement réussi à rester sous le radar pendant au moins six ans», ont déclaré des chercheurs de Check Point Research, dans une analyse. «D’après les preuves que nous avons rassemblées, les individus malveillants, qui semblent opérer depuis l’Iran, profitent de multiples vecteurs d’attaque pour espionner leurs victimes, attaquant les ordinateurs personnels et les appareils mobiles des victimes.»

Les attaques de Rampant Kitten sur Android

Les chercheurs ont découvert pour la première fois la campagne de Rampant Kitten à travers un document dont le titre se traduit par «Le régime craint la propagation des canons révolutionnaires.docx». On ne sait pas comment ce document est diffusé (via l’hameçonnage ciblé ou autre), mais il prétend décrire la lutte en cours entre le régime iranien et les Revolutionary Cannons, un mouvement anti-régime, moudjahidin-e Khalq.

Le document une fois ouvert charge un modèle de document à partir d’un serveur distant (afalr-sharepoint[.]com), qui se fait passer pour un site Web pour une organisation à but non lucratif qui aide les dissidents iraniens.

android rampant kitten

Il télécharge ensuite un code de macro malveillant, qui exécute un script batch pour télécharger et exécuter une charge utile de l’étape suivante. Cette charge utile vérifie ensuite si le service de messagerie Telegram populaire est installé sur le système des victimes. Si tel est le cas, il extrait trois exécutables de ses ressources.

Ces exécutables Android incluent un voleur d’informations, qui récupère les fichiers Telegram de l’ordinateur de la victime, vole des informations de l’application de gestion de mot de passe KeePass, télécharge tout fichier qu’il peut trouver qui se termine par un ensemble d’extensions prédéfinies, et enregistre les données du presse-papiers et prend des captures d’écran du bureau.

Les chercheurs ont pu suivre plusieurs variantes de cette charge utile datant de 2014. Il s’agit notamment des variantes TelB (utilisées en juin et juillet 2020) et TelAndExt (mai 2019 à février 2020), qui se concentrent sur Telegram, un infostealer Python (février 2018 à janvier 2020) qui se concentre sur le vol de données de Telegram, Chrome, Firefox et Edge; et une variante HookInjEx (décembre 2014 à mai 2020), un infostealer qui cible les navigateurs, l’audio de l’appareil, l’enregistrement de frappe et les données du presse-papiers.

Porte dérobée Android

Au cours de leur enquête, les chercheurs ont également découvert une application Android malveillante liée aux mêmes pirates informatiques. L’application était censée être un service destiné à aider les Persans Suédois à obtenir leur permis de conduire.

Au lieu de cela, une fois que les victimes téléchargent l’application, la porte dérobée vole leurs messages SMS et contourne l’authentification à 2 facteurs (2FA) en transférant tous les messages SMS contenant des codes 2FA vers un numéro de téléphone contrôlé par un attaquant.

«L’une des fonctionnalités uniques de cette application malveillante est de transférer tout SMS commençant par le préfixe G- (le préfixe des codes d’authentification à deux facteurs de Google) vers un numéro de téléphone qu’il reçoit du serveur C2», ont déclaré les chercheurs. “De plus, tous les SMS entrants de Telegram et d’autres applications de réseaux sociaux sont également automatiquement envoyés au numéro de téléphone des attaquants.”

Il est à noter que l’application lance également une attaque d’hameonnage ciblant les identifiants du compte Google (Gmail) des victimes. L’utilisateur voit apparaitre une page de connexion Google légitime, dans WebView d’Android. En réalité, les attaquants ont utilisé l’interface Javascript d’Android pour voler les informations d’identification saisies, ainsi qu’un minuteur qui récupère périodiquement les informations des champs de saisie du nom d’utilisateur et du mot de passe.

telegram android

Il récupère également les données personnelles (comme les contacts et les détails du compte) et enregistre l’environnement du téléphone Android.

«Nous avons localisé deux variantes différentes de la même application, l’une qui semble avoir été compilée à des fins de test, et l’autre est la version finale, à déployer sur l’appareil d’une cible», ont déclaré les chercheurs.

Les chercheurs ont également mis en garde contre les sites Web appartenant aux pirates informatiques qui étaient des pages d’hameçonnage usurpant l’identité de Telegram. Un robot Telegram envoyait des messages d’hameçonnage avertissant les destinataires qu’ils faisaient une mauvaise utilisation des services de Telegram et que leur compte sera bloqué s’ils ne cliquent pas sur le lien d’hameçonnage.

«Étant donné que la plupart des cibles que nous avons identifiées sont des Iraniens, il semble qu’à l’instar d’autres attaques attribuées à la République islamique, cela pourrait être un autre cas dans lequel des hackers iraniens collectent des renseignements sur des opposants potentiels au régime», ont déclaré des chercheurs.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x