En théorie, le système de vérification ou d’authentification en 2 étapes est l’une des options de cybersécurité les plus sûres du moment. Un code supplémentaire que nous recevons sur le téléphone portable, par SMS, par mail, etc., et qui sert à valider la connexion après avoir saisi le mot de passe. Mais apparemment ce n’est pas le cas, et dans le scénario actuel d’espionnage, de contre-espionnage et de cyberespionnage, le système a été détruit, du moins sur Android.

Cyber ​​guerre

La société de cybersécurité Check Point Research a démêlé une opération de surveillance en cours par des entités iraniennes qui cible les expatriés et les dissidents iraniens depuis des années. Alors que certaines observations individuelles de cette attaque ont déjà été rapportées par d’autres chercheurs et journalistes, «notre enquête nous a permis de relier les différentes campagnes et de les attribuer aux mêmes attaquants».

Parmi les différents vecteurs d’attaque figuraient:

– Quatre variantes d’infostealers Windows destiné à voler les documents personnels de la victime, ainsi que l’accès à son bureau Telegram et aux informations de son compte KeePass

– Porte dérobée Android qqui extrait les codes d’authentification à deux facteurs des messages SMS, enregistre les environs de l’endroit où le mobile utilise son micro, etc.

– Pages de phishing de l’application Telegram, distribué à l’aide de faux comptes de service Telegram

Les instruments et méthodes susmentionnés semblent être principalement utilisés contre les minorités iraniennes, les organisations anti-régulation et les mouvements de résistance tels que:

– Association des familles des résidents du camp Ashraf et Liberty (AFALR)

– Organisation nationale de la résistance d’Azerbaïdjan

– Le peuple du Baloutchistan

La porte dérobée d’Android

L’arme utilisée pour ces opérations d’espionnage était une porte dérobée créée par un groupe de pirates pour le système d’exploitation Android. Un accès secret et discret avec lequel ils peuvent extraire les codes envoyés par SMS dans un système de vérification en 2 étapes, ainsi que d’espionner les conversations enregistrées avec le microphone ou d’accéder à la liste de contacts.

D’une part, la campagne d’espionnage dirige le “ malware ” vers les ordinateurs Windows, afin de prendre le contrôle du compte Telegram des utilisateurs dans le client de bureau et d’obtenir des informations du Gestionnaire de mots de passe KeePass. D’autre part, via une application Android malveillante, les cybercriminels créent une porte dérobée dans les appareils mobiles qui leur permet d’accéder aux SMS de l’utilisateur.

A quoi ça sert? Eh bien, beaucoup, parce que leur permet d’intercepter le code envoyé par SMS dans un système d’authentification en deux étapes. De plus, le contrôle qu’ils obtiennent sur l’appareil Android leur permet de collecter des informations à partir de comptes personnels, de listes de contacts et d’applications installées, ainsi que activez le microphone pour enregistrer la victime et afficher des contrefaçons du compte Google.

Et si ces deux fronts d’attaque ne suffisaient pas, les pirates ont simulé le site Web et le compte officiel Telegram pour y diffuser des logiciels malveillants. Vous trouverez ici l’analyse médico-légale exhaustive de Checkpoint, qui examine également comment une application comme Telegram peut devenir une arme à utiliser dans des conflits réels.