Les chevaux de Troie s’adaptent aussi au MFA
![](https://www.silicon.fr/wp-content/uploads/2022/03/Escobar-malware-MFA-Google-Authenticator-684x513.jpg)
Une variante du trojan bancaire Aberebot a émergé. Elle est capable d’intercepter des codes MFA sur Google Authenticator.
Dans quelle mesure le phishing s’adapte-t-il à l’authentification multifacteur (MFA) ? Il y a quelques mois, des chercheurs de l’université Stony Brook (New York) et de Palo Alto Networks publiaient un rapport d’étude à ce sujet. Ils y mettaient en lumière des toolkits « nouvelle génération » capables d’intercepter codes en jouant sur un mécanisme de proxy inversé.
Certains chevaux de Troie se sont aussi mis à la mode MFA. Aberebot en fait partie. Ses premières traces remontent à l’été 2021. Déguisé en Google Chrome, il pouvait notamment – à condition d’avoir obtenu la permission – accéder aux SMS. Et analyser lesquels contenaient des suites de chiffres susceptibles d’être des codes MFA. Codes qu’il pouvait alors collecter.
![vol OTP vol OTP](https://www.silicon.fr/wp-content/uploads/2022/03/vol-OTP.jpg)
New sample: https://t.co/0NnT2iZ45a pic.twitter.com/kFSvllyIdS
— Alberto Segura (@alberto__segura) July 27, 2021
Une variante d’Aberebot semble circuler depuis quelques semaines dans le milieu cybercriminel. Son nom : Escobar. Elle est cette fois déguisée en application McAfee, toujours pour Android (com.escobar.pablo). Aux capacités de son prédécesseur, elle ajoute, entre autres, l’enregistrement audio et le contrôle à distance par VNC. Mais aussi la collecte de codes MFA sur l’application Google Authenticator.
![vol Google Authenticator vol Google Authenticator Escobar](https://www.silicon.fr/wp-content/uploads/2022/03/vol-Google-Autheticator.png)
Escobar demande pas moins de 25 permissions. Dont une quinzaine d’ordre critique. Cela va de l’accès à la géolocalisation à l’émission d’appels en passant par la désactivation du verrouillage d’écran.
Possible interesting, very low detected « McAfee9412.apk »: a9d1561ed0d23a5473d68069337e2f8e7862f7b72b74251eb63ccc883ba9459f
From: https://cdn.discordapp[.]com/attachments/900818589068689461/948690034867986462/McAfee9412.apk
« com.escobar.pablo »
😂 pic.twitter.com/QR89LV4jat— MalwareHunterTeam (@malwrhunterteam) March 3, 2022
Illustration principale © maxkabakov – Fotolia