Un grupo de hackers consiguen robar códigos 2FA SMS en Android

La firma de seguridad Checkpoint ha publicado hace escasos días un extenso informe referente al descubrimiento de un grupo de ciberdelincuentes ubicado en Irán, que han desarrollado un malware capaz de sustraer códigos de segundo factor de autenticación en Android.

Este malware forma parte de un framework de hacking desarrollador por un grupo de hackers bautizado como Rampant Kitten.

Este grupo ha esado activo durante los últimos 6 años (como mínimo) y se ha metido en operaciones de espionaje contra minorías étnicas iraníes, movimientos de resistencia y organizaciones consideradas «peligrosas», como la Asociación de Familias del Campo Ashraf y Liberty Residents (AFALR).

Para conseguir sus objetivos, los atacantes han utilizado toda clase de malware, como diversos programas para sustraer información personal de equipos Windows, además de una puerta trasera o Backdoor que ataca dispositivos Android. Y estos hackers no son unos «pringados», sino que tienen amplias capacidades y se cree que están financiados por el gobierno de Irán, de ahí que recientemente hayan emitido avisos la CIA y el FBI.

Una app Android capaz de robar los códigos SMS

Es sabio que a día de hoy, usar algún mecanismo de segundo factor de autenticación es vital para mantener nuestras cuentas seguras. Nos protege ante ataques de Phishing a servicios como Gmail o Amazon, tan importantes.

Sin embargo llama la atención la amplia adopción que sigue teniendo una de sus variantes, la cual es considerada poco segura (el SMS) y que debería ser sustituída por una app o dongle físico (FIDO) siempre que sea posible.

Checkpoint desgrana los detalles sobre cómo funciona este malware. De forma resumida, para el caso de equipos Windows, tenemos un vector de ataque a través de la carga en remoto de una plantilla externa de Sharepoint, para el recurso:

afalr-sharepoint[.]com

Una vez el usuario objetivo abre el documento y se descarga la plantilla remota, se carga una macro maliciosa que a su vez lanza un script por lotes, que procura descargar y ejecutar la segunda fase de la infección.

Además, el payload intenta encontrar la aplicación Telegram en nuestro equipo. En caso de encontrarlo, descargará 3 ficheros adicionales:

• Updater.exe – Instalador de Telegram modificado
• BOBC3953C59DA7870 – Loader, ejecutado por proceso RunDLL, inyecta el payload principal sobre explorer.exe
• CO9D5A739B85C37C1 – Payload del Infostealer (spyware)

Ahora, durante su investigación se ha descubierto una aplicación Android maliciosa que han desarrollado los mismos actores. Se enmascara como si fuera una app de ayuda para hablantes persas que quieren sacarse el carnet de conducir en Suecia.

Dadao que las capacidades de esta app Android incluyen «robar SMS existentes del equipo» y Renviar SMS de autenticación multifactor a números especificados por el servidor de control (C&C) posee capacidad para suplantar nuestros códigos SMS OTP.

Otro vector de entrada (como se puede ver en la siguiente imagen) es un intento de suplantación de la web de Telegram:

telegramreport.me/web

Siguiendo con las capacidades del malware para Android, este podría también ver la lista de contactos y efectuar escuchas silenciosas con el micrófono del aparato, además de mostrar al usuario páginas de phishing.

Una de sus funcionalidades únicas es la de reenviar SMS que comienzan por el prefijo G- (asociado a códigos de segundo factor de Google), a un teléfono que se recibe desde el servidor de control remoto.

Checkpoint

En la web de Checkpoint tenéis toda la información, incluyendo los IOC, que entiendo poco interesantes dada la naturaleza local de esta amenaza. Sin embargo, lo importante que subyace es la moraleja: ¿Seguro que quieres seguir utilizando códigos de un solo uso mediante SMS? ¿Por qué los bancos siguen usando en gran medida este tipo de códigos?