Un malware Android permettrait de voler les codes 2FA envoyés par SMS pour les comptes Google. Ce malware contient aussi plusieurs fonctionnalités qui permettent de faire de même pour Telegram ainsi que divers autres réseaux sociaux.

La société de sécurité Check Point a découvert le groupe de pirates informatiques iraniens qui ont développé un logiciel malveillant Android pouvant intercepter et voler les codes d’authentification à deux facteurs (2FA) envoyés par SMS.

Le malware fait partie d’un arsenal d’outils de piratage développé par un groupe que l’entreprise a nommé « Rampant Kitten ». D’après Check Point, le groupe est actif depuis au moins six années et est engagé dans une opération de surveillance continue contre les minorités iraniennes, les mouvements de résistance et les organisations anti-régime.

Les compagnes ont fait appel à une vaste gamme de familles de logiciels malveillants, dont quatre variantes du malware sur Windows et une porte dérobée Android dissimulée dans des applications malveillantes. Les souches de logiciels malveillants sur Windows ont été principalement utilisées dans le but de voler des documents personnels aux victimes, ainsi que les fichiers du client desktop de l’application Telegram, soit des fichiers pouvant permettre aux pirates d’avoir accès au compte Telegram des victimes.

Les souches des logiciels malveillants Windows ont aussi permis de voler des fichiers du gestionnaire de mots de passe KeePass, d’après la description de la fonctionnalité dans une alerte conjointe des CISA et FBI sur les pirates informatiques iraniens et leurs logiciels malveillants.