Ce n’est un secret pour personne que certains pays ont espionné leurs citoyens grâce à des applications à l’aspect inoffensif, mais un effort est plus vaste que d’habitude. Check Point Research a découvert (via ZDNet) que Rampant Kitten, un groupe de hackers iranien qui cible les opposants politiques du pays depuis des années, a développé un malware Android axé sur le vol de codes d’authentification à deux facteurs. Il ne se concentre pas uniquement sur un seul service, il cible Google, Telegram et d’autres grands services Internet ou sociaux.

Les attaquants utilisent d’abord un cheval de Troie de phishing pour collecter les informations de connexion, puis essaient ceux qui ont le vrai site. Si l’authentification à deux facteurs de la victime est activée, le malware nouvellement signalé intercepte les messages SMS entrants et envoie discrètement des copies aux intrus.

Le code comporte également des outils pour saisir les contacts, les journaux de messages texte et même le son du microphone, mais il est inhabituellement centré sur des données à deux facteurs. Il a jusqu’à présent été trouvé dans une application prétendant aider les personnes parlant persan en Suède à obtenir un permis de conduire, mais il pourrait être disponible dans d’autres applications.

C’est une découverte importante. Même si ce n’est pas un secret que les groupes soutenus par l’État peuvent contourner les demandes à deux facteurs, il est difficile de voir comment ces systèmes fonctionnent. Il souligne également l’importance d’utiliser des systèmes à deux authentifications qui évitent les SMS, tels que les clés de sécurité matérielles. Le SMS est mieux que rien, mais il n’est plus un moyen de dissuasion pour les intrus les plus déterminés, qu’il s’agisse d’espions pro-gouvernementaux ou de criminels ordinaires.

Lire aussi  L'application Google Arts & Culture vous permet de vous transformer en tableau de Van Gogh