Hacker haben Software entwickelt, um SMS-Codes für die Zwei-Faktor-Authentifizierung zu stehlen

Die Malware konnte SMS-Codes für 2FA-Google-Konten stehlen. Auch Telegram und andere soziale Netzwerke sind bedroht.

Sicherheitsexperten von Check Point sagten, eine iranische Hacking-Gruppe habe Android-Malware entwickelt, die per SMS gesendete Zwei-Faktor-Authentifizierungscodes (2FA) abfangen kann.

Die Malware war Teil eines Arsenals von Hacking-Tools, die von einer Hackergruppe namens Rampant Kitten entwickelt wurden .

Laut Check Point ist die Gruppe seit mindestens sechs Jahren aktiv und an einer laufenden Überwachungsoperation gegen iranische Minderheiten, regierungsfeindliche Organisationen und Widerstandsbewegungen beteiligt, darunter:

• Association of Camp Ashraf Families and Freedom Residents (AFALR)
• Aserbaidschanische Nationale Widerstandsorganisation
• Menschen in Belutschistan

Hacker verwenden eine breite Palette von Malware, darunter vier Varianten von Infostealern für Windows und eine Android – Hintertür, die in bösartigen Apps getarnt ist.

Windows-Malware wurde hauptsächlich verwendet, um persönliche Dokumente sowie Dateien des Telegram-Desktop-Clients für Windows zu stehlen, die es Hackern ermöglichen würden, auf das Telegram-Konto des Opfers zuzugreifen.

Darüber hinaus stahl Windows-Malware auch Dateien aus dem KeePass-Passwortmanager. Dies steht im Einklang mit der Beschreibung der Funktionalität in einer gemeinsamen CISA-FBI- Warnung über iranische Hacker und ihre Malware, die Anfang dieser Woche veröffentlicht wurde.

App zur Umgehung von 2FA

Aber während die Hacker von Rampant Kitten Trojaner für Windows bevorzugten, entwickelten sie ähnliche Tools auch für Android.

In einem gestern veröffentlichten Bericht sagten Forscher von Check Point, dass sie auch eine leistungsstarke Android-Hintertür entdeckt haben, die von der Gruppe entwickelt wurde. Die Hintertür könnte die Kontaktliste und SMS-Nachrichten des Opfers stehlen, das Mikrofon unbemerkt aktivieren und zu Phishing-Seiten navigieren.

Die Hintertür enthielt auch Skripte, die speziell zum Stehlen von 2FA-Codes entwickelt wurden.

Laut Check Point wird die Malware jede SMS abfangen und an Angreifer weiterleiten, die die Zeichenfolge „G-” enthält, die häufig verwendet wird, um 2FA-Codes für Google-Konten voranzustellen, die per SMS an Benutzer gesendet werden.

Die Betreiber von Rampant Kitten sollen Android-Trojaner verwenden, um das Gerät dazu zu zwingen, eine Google-Phishing-Seite zu öffnen, die Anmeldeinformationen des Benutzers zu erfassen und sich dann Zugriff auf das Konto zu verschaffen.

Wenn das Opfer die Zwei-Faktor-Authentifizierung aktiviert hatte, konnte die Code-Sniffing-Funktion unbemerkt Kopien des Zwei-Faktor-Authentifizierungscodes an Angreifer senden, wodurch der Schutz umgangen werden konnte.

Check Point fand zudem Hinweise darauf, dass die Malware auch alle eingehenden SMS-Nachrichten von Telegram und anderen sozialen Netzwerken automatisch weiterleitet. Diese Nachrichtentypen enthalten auch 2FA-Codes, und es ist sehr wahrscheinlich, dass die Gruppe diese Funktion verwendet hat, um 2FA auf mehr als nur Google-Konten zu umgehen.

Derzeit tarnt sich die Malware als App, die persischsprachigen Personen in Schweden zum Führerschein verhilft. Es könnte sich jedoch auch in anderen Apps verstecken, die auf im Iran und darüber hinaus lebende Iraner abzielen, die gegen das Regime in Teheran sind.

Während allgemein anerkannt ist, dass staatlich geförderte Hackergruppen die Zwei-Faktor-Authentifizierung in der Regel ohnehin umgehen können, bekommen wir nur sehr selten eine Vorstellung von ihren Tools und wie sie das tun.