...
Truques de vida, dicas úteis, recomendações. Artigos para homens e mulheres. Escrevemos sobre tecnologia e sobre tudo o que é interessante.
ComputadoresNotícia

Hackers criaram software para roubar códigos SMS para autenticação de dois fatores

1

O malware foi capaz de roubar códigos SMS para contas 2FA do Google. O Telegram e outras redes sociais também estão sob ameaça.

Especialistas em segurança da Check Point disseram que um grupo de hackers iranianos desenvolveu um malware para Android que pode interceptar códigos de autenticação de dois fatores (2FA) enviados por SMS.

O malware fazia parte de um arsenal de ferramentas de hackers desenvolvidas por um grupo de hackers da empresa chamada Rampant Kitten.

A Check Point diz que o grupo está ativo há pelo menos seis anos e está envolvido em uma operação de vigilância contínua contra minorias iranianas, organizações antigovernamentais e movimentos de resistência, como:

  • Associação de Famílias do Campo Ashraf e Residentes da Liberdade (AFALR)
  • Organização Nacional de Resistência do Azerbaijão
  • povo do Baluchistão

Os hackers usam uma ampla variedade de malware, incluindo quatro variantes de infostealers para Windows e um backdoor do Android disfarçado em aplicativos maliciosos.

O malware do Windows foi usado principalmente para roubar documentos pessoais, bem como arquivos do cliente de desktop Telegram para Windows, o que permitiria que hackers acessassem a conta Telegram da vítima.

Além disso, o malware do Windows também roubou arquivos do gerenciador de senhas KeePass. Isso está de acordo com a descrição da funcionalidade em um alerta conjunto CISA-FBI sobre hackers iranianos e seu malware publicado no início desta semana.

App para contornar 2FA

Mas embora os hackers do Rampant Kitten preferissem cavalos de Tróia para Windows, eles também desenvolveram ferramentas semelhantes para o Android.

Em um relatório publicado ontem, os pesquisadores da Check Point disseram que também descobriram um poderoso backdoor do Android desenvolvido pelo grupo. O backdoor pode roubar a lista de contatos e as mensagens SMS da vítima, ativar silenciosamente o microfone e navegar para páginas de phishing.

O backdoor também continha scripts projetados especificamente para roubar códigos 2FA.

A Check Point disse que o malware interceptará e encaminhará aos invasores qualquer SMS contendo a string "G-", comumente usada para prefixar códigos 2FA para contas do Google enviadas aos usuários via SMS.

Os operadores do Rampant Kitten devem usar cavalos de Tróia do Android para forçar o dispositivo a abrir uma página de phishing do Google, capturar as credenciais do usuário e obter acesso à conta.

Se a vítima tivesse a autenticação de dois fatores ativada, o recurso de detecção de código poderia enviar silenciosamente cópias do código de autenticação de dois fatores aos invasores, permitindo que a proteção fosse contornada.

A Check Point também encontrou evidências de que o malware também encaminha automaticamente todas as mensagens SMS recebidas do Telegram e de outras redes sociais. Esses tipos de mensagem também contêm códigos 2FA, e é muito provável que o grupo tenha usado esse recurso para ignorar o 2FA em mais do que apenas contas do Google.

No momento, o malware se disfarça como um aplicativo que ajuda os falantes de persa na Suécia a obter uma carteira de motorista. No entanto, também pode se esconder dentro de outros aplicativos que visam os iranianos que se opõem ao regime de Teerã que vivem no Irã e além.

Embora seja geralmente aceito que os grupos de hackers patrocinados pelo governo geralmente possam contornar a autenticação de dois fatores, raramente temos uma ideia de suas ferramentas e como eles fazem isso.

você pode gostar também Mais do autor

Este site usa cookies para melhorar sua experiência. Presumiremos que você está ok com isso, mas você pode cancelar, se desejar. Aceitar Consulte Mais informação