Los piratas informáticos crearon un software para robar códigos SMS para la autenticación de dos factores

Last updated Dic 4, 2022

El malware pudo robar códigos SMS para cuentas de Google 2FA. Telegram y otras redes sociales también están bajo amenaza.

Los expertos en seguridad de Check Point dijeron que un grupo de piratería iraní ha desarrollado malware para Android que puede interceptar códigos de autenticación de dos factores (2FA) enviados por SMS.

El malware formaba parte de un arsenal de herramientas de piratería desarrolladas por un grupo de hackers que la compañía llamó Rampant Kitten.

Check Point dice que el grupo ha estado activo durante al menos seis años y está involucrado en una operación de vigilancia en curso contra las minorías iraníes, las organizaciones antigubernamentales y los movimientos de resistencia como:

Asociación de Familias de Camp Ashraf y Residentes de la Libertad (AFALR)
Organización de Resistencia Nacional de Azerbaiyán
gente de Baluchistán

Los piratas informáticos utilizan una amplia gama de malware, incluidas cuatro variantes de ladrones de información para Windows y una puerta trasera de Android disfrazada dentro de aplicaciones maliciosas.

El malware de Windows se utilizó principalmente para robar documentos personales y archivos del cliente de escritorio Telegram para Windows, lo que permitiría a los piratas informáticos acceder a la cuenta de Telegram de la víctima.

Además, el malware de Windows también robó archivos del administrador de contraseñas KeePass. Esto está en línea con la descripción de la funcionalidad en una alerta conjunta CISA-FBI sobre los piratas informáticos iraníes y su malware publicada a principios de esta semana.

Aplicación para evitar 2FA

Pero mientras que los hackers de Rampant Kitten preferían los troyanos para Windows, también desarrollaron herramientas similares para Android.

En un informe publicado ayer, los investigadores de Check Point dijeron que también descubrieron una poderosa puerta trasera de Android desarrollada por el grupo. La puerta trasera podría robar la lista de contactos y los mensajes SMS de la víctima, activar silenciosamente el micrófono y navegar a páginas de phishing.

La puerta trasera también contenía scripts diseñados específicamente para robar códigos 2FA.

Check Point dijo que el malware interceptará y reenviará a los atacantes cualquier SMS que contenga la cadena "G-", comúnmente utilizada para prefijar códigos 2FA para cuentas de Google enviadas a usuarios a través de SMS.

Se supone que los operadores de Rampant Kitten deben usar troyanos de Android para obligar al dispositivo a abrir una página de phishing de Google, capturar las credenciales del usuario y luego obtener acceso a la cuenta.

Si la víctima tenía habilitada la autenticación de dos factores, la función de rastreo de código podría enviar silenciosamente copias del código de autenticación de dos factores a los atacantes, lo que permitiría eludir la protección.

Check Point también encontró evidencia de que el malware también reenvía automáticamente todos los mensajes SMS entrantes de Telegram y otras redes sociales. Estos tipos de mensajes también contienen códigos 2FA, y es muy probable que el grupo haya usado esta función para evitar la 2FA en más cuentas de Google.

Por el momento, el malware se hace pasar por una aplicación que ayuda a los hablantes de persa en Suecia a obtener una licencia de conducir. Sin embargo, también podría ocultarse dentro de otras aplicaciones dirigidas a iraníes opuestos al régimen de Teherán que viven en Irán y más allá.

Si bien generalmente se acepta que los grupos de piratas informáticos patrocinados por el gobierno pueden eludir la autenticación de dos factores de todos modos, rara vez tenemos una idea de sus herramientas y cómo lo hacen.