Les chevaux de Troie s’adaptent aussi au MFA

Dans quelle mesure le phishing s’adapte-t-il à l’authentification multifacteur (MFA) ? Il y a quelques mois, des chercheurs de l’université Stony Brook (New York) et de Palo Alto Networks publiaient un rapport d’étude à ce sujet. Ils y mettaient en lumière des toolkits « nouvelle génération » capables d’intercepter codes en jouant sur un mécanisme de proxy inversé.

Certains chevaux de Troie se sont aussi mis à la mode MFA. Aberebot en fait partie. Ses premières traces remontent à l’été 2021. Déguisé en Google Chrome, il pouvait notamment – à condition d’avoir obtenu la permission – accéder aux SMS. Et analyser lesquels contenaient des suites de chiffres susceptibles d’être des codes MFA. Codes qu’il pouvait alors collecter.

Une variante d’Aberebot semble circuler depuis quelques semaines dans le milieu cybercriminel. Son nom : Escobar. Elle est cette fois déguisée en application McAfee, toujours pour Android (com.escobar.pablo). Aux capacités de son prédécesseur, elle ajoute, entre autres, l’enregistrement audio et le contrôle à distance par VNC. Mais aussi la collecte de codes MFA sur l’application Google Authenticator.

Escobar demande pas moins de 25 permissions. Dont une quinzaine d’ordre critique. Cela va de l’accès à la géolocalisation à l’émission d’appels en passant par la désactivation du verrouillage d’écran.

Illustration principale © maxkabakov – Fotolia