Hakkerit loivat ohjelmiston SMS-koodien varastamiseksi kaksivaiheista todennusta varten

Haittaohjelma pystyi varastamaan tekstiviestikoodeja 2FA Google -tileille. Telegram ja muut sosiaaliset verkostot ovat myös uhattuna.

Check Pointin tietoturvaasiantuntijat sanoivat, että iranilainen hakkerointiryhmä on kehittänyt Android-haittaohjelman, joka voi siepata tekstiviestillä lähetetyt kaksitekijätodennuskoodit (2FA).

Haittaohjelma oli osa Rampant Kitten -nimisen hakkeriryhmän kehittämää hakkerointityökalujen arsenaalia .

Check Pointin mukaan ryhmä on ollut aktiivinen vähintään kuusi vuotta ja on mukana meneillään olevassa Iranin vähemmistöjä, hallituksen vastaisia ​​järjestöjä ja vastarintaliikkeitä vastaan ​​suunnatussa valvontaoperaatiossa, kuten:

• Camp Ashraf Families and Freedom Residents (AFALR)
• Azerbaidžanin kansallinen vastarintajärjestö
• Balochistanin kansa

Hakkerit käyttävät laajaa valikoimaa haittaohjelmia, mukaan lukien neljä erilaista tietovarastoa Windowsille ja Android – takaovea, joka on naamioitu haitallisten sovellusten sisään.

Windows-haittaohjelmia käytettiin pääasiassa henkilökohtaisten asiakirjojen ja tiedostojen varastamiseen Telegram-työpöytäohjelmasta Windowsille, mikä antoi hakkereille mahdollisuuden käyttää uhrin Telegram-tiliä.

Lisäksi Windows-haittaohjelmat varastivat tiedostoja myös KeePass-salasanojen hallinnasta. Tämä on sopusoinnussa aiemmin tällä viikolla julkaistun CISA-FBI:n yhteisen iranilaisia ​​hakkereita ja heidän haittaohjelmiaan koskevan hälytyksen toiminnallisuuden kuvauksen kanssa.

Sovellus ohittaa 2FA

Mutta vaikka Rampant Kitten – hakkerit suosivat troijalaisia ​​Windowsille, he kehittivät samanlaisia ​​työkaluja myös Androidille.

Eilen julkaistussa raportissa Check Pointin tutkijat sanoivat löytäneensä myös ryhmän kehittämän tehokkaan Android-takaoven. Takaovi voi varastaa uhrin yhteystietoluettelon ja tekstiviestit, aktivoida mikrofonin äänettömästi ja siirtyä tietojenkalastelusivuille.

Takaovi sisälsi myös skriptejä, jotka oli erityisesti suunniteltu varastamaan 2FA-koodeja.

Check Point sanoi, että haittaohjelma sieppaa ja välittää hyökkääjille kaikki tekstiviestit, jotka sisältävät merkkijonon "G-", jota käytetään yleisesti 2FA-koodien etuliitteenä käyttäjille tekstiviestillä lähetetyille Google-tileille.

Rampant Kitten -operaattoreiden on tarkoitus käyttää Android-troijalaisia ​​pakottaakseen laitteen avaamaan Googlen tietojenkalastelusivun, kaappaamaan käyttäjän tunnistetiedot ja pääsemään sitten tilille.

Jos uhrilla oli kaksivaiheinen todennus käytössä, koodin haisteluominaisuus voisi lähettää kaksivaiheisen todennuskoodin kopioita hyökkääjille, jolloin suojaus voidaan ohittaa.

Check Point löysi myös todisteita siitä, että haittaohjelma välittää automaattisesti myös Telegramista ja muista sosiaalisista verkostoista saapuvat tekstiviestit. Nämä viestityypit sisältävät myös 2FA-koodeja, ja on erittäin todennäköistä, että ryhmä käytti tätä ominaisuutta ohittaakseen 2FA:n muillakin kuin vain Google-tileillä.

Tällä hetkellä haittaohjelma naamioituu sovellukseksi, joka auttaa persiankielisiä Ruotsissa saamaan ajokortin. Se voi kuitenkin piiloutua myös muihin sovelluksiin, jotka kohdistuvat Iranissa ja sen ulkopuolella asuviin Iranin hallintoa vastustaviin iranilaisiin.

Vaikka on yleisesti hyväksyttyä, että valtion tukemat hakkeriryhmät voivat yleensä ohittaa kaksivaiheisen todennuksen, saamme hyvin harvoin käsityksen heidän työkaluistaan ​​ja siitä, miten he tekevät sen.