Il malware è stato in grado di rubare i codici SMS per gli account Google 2FA. Anche Telegram e altri social network sono minacciati.
Gli esperti di sicurezza di Check Point hanno affermato che un gruppo di hacker iraniani ha sviluppato malware per Android in grado di intercettare i codici di autenticazione a due fattori (2FA) inviati tramite SMS.
Il malware faceva parte di un arsenale di strumenti di hacking sviluppato da un gruppo di hacker chiamato Rampant Kitten.
Check Point afferma che il gruppo è attivo da almeno sei anni ed è coinvolto in un’operazione di sorveglianza in corso contro minoranze iraniane, organizzazioni antigovernative e movimenti di resistenza come:
- Associazione delle famiglie di Camp Ashraf e dei residenti della libertà (AFALR)
- Organizzazione di resistenza nazionale dell’Azerbaigian
- popolo del Belucistan
Gli hacker utilizzano un’ampia gamma di malware, tra cui quattro varianti di infostealer per Windows e una backdoor per Android mascherata all’interno di app dannose.
Il malware Windows è stato utilizzato principalmente per rubare documenti personali e file dal client desktop Telegram per Windows, che avrebbe consentito agli hacker di accedere all’account Telegram della vittima.
Inoltre, il malware Windows ha anche rubato file dal gestore di password KeePass. Ciò è in linea con la descrizione della funzionalità in un avviso congiunto CISA-FBI sugli hacker iraniani e il loro malware pubblicato all’inizio di questa settimana.
App per bypassare 2FA
Ma mentre gli hacker di Rampant Kitten preferivano i trojan per Windows, hanno anche sviluppato strumenti simili per Android.
In un rapporto pubblicato ieri, i ricercatori di Check Point hanno affermato di aver scoperto anche una potente backdoor Android sviluppata dal gruppo. La backdoor potrebbe rubare l’ elenco dei contatti e i messaggi SMS della vittima, attivare silenziosamente il microfono e accedere alle pagine di phishing.
La backdoor conteneva anche script appositamente progettati per rubare i codici 2FA.
Check Point ha affermato che il malware intercetterà e inoltrerà agli aggressori qualsiasi SMS contenente la stringa "G-", comunemente utilizzata come prefisso dei codici 2FA per gli account Google inviati agli utenti tramite SMS.
Gli operatori di Rampant Kitten dovrebbero utilizzare i trojan Android per forzare il dispositivo ad aprire una pagina di phishing di Google, acquisire le credenziali dell’utente e quindi ottenere l’accesso all’account.
Se la vittima aveva abilitato l’autenticazione a due fattori, la funzione di sniffing del codice potrebbe inviare silenziosamente copie del codice di autenticazione a due fattori agli aggressori, consentendo di aggirare la protezione.
Check Point ha anche trovato prove che il malware inoltra automaticamente anche tutti i messaggi SMS in arrivo da Telegram e altri social network. Questi tipi di messaggi contengono anche codici 2FA ed è molto probabile che il gruppo abbia utilizzato questa funzione per aggirare 2FA su più di un semplice account Google.
Al momento, il malware si maschera da app che aiuta i parlanti persiani in Svezia a ottenere la patente di guida. Tuttavia, potrebbe anche nascondersi all’interno di altre app che prendono di mira gli iraniani contrari al regime di Teheran che vivono in Iran e oltre.
Sebbene sia generalmente accettato che i gruppi di hacker sponsorizzati dal governo possano solitamente aggirare l’autenticazione a due fattori, molto raramente abbiamo un’idea dei loro strumenti e di come lo fanno.