Skadlig programvara kunde stjäla SMS-koder för 2FA Google-konton. Telegram och andra sociala nätverk är också hotade.
Säkerhetsexperter vid Check Point sa att en iransk hackargrupp har utvecklat skadlig programvara för Android som kan fånga upp tvåfaktorsautentiseringskoder (2FA) som skickas via SMS.
Skadlig programvara var en del av en arsenal av hackningsverktyg utvecklade av en hackergrupp som företaget kallade Rampant Kitten.
Check Point säger att gruppen har varit aktiv i minst sex år och är involverad i en pågående övervakningsoperation mot iranska minoriteter, anti-regeringsorganisationer och motståndsrörelser som:
- Association of Camp Ashraf Families and Freedom Residents (AFALR)
- Azerbajdzjans nationella motståndsorganisation
- människor i Balochistan
Hackare använder ett brett utbud av skadlig programvara, inklusive fyra varianter av infostealers för Windows och en Android- bakdörr förklädd inuti skadliga appar.
Windows skadlig programvara användes främst för att stjäla personliga dokument såväl som filer från Telegrams skrivbordsklient för Windows, vilket skulle göra det möjligt för hackare att komma åt offrets Telegram-konto.
Dessutom stal Windows malware också filer från KeePass lösenordshanteraren. Detta är i linje med beskrivningen av funktionalitet i en gemensam CISA-FBI- varning om iranska hackare och deras skadliga program som publicerades tidigare i veckan.
App för att kringgå 2FA
Men medan Rampant Kitten-hackarna föredrog trojaner för Windows, utvecklade de också liknande verktyg för Android.
I en rapport som publicerades i går sa Check Point- forskare att de också upptäckte en kraftfull Android-bakdörr utvecklad av gruppen. Bakdörren kan stjäla offrets kontaktlista och SMS, aktivera mikrofonen tyst och navigera till nätfiskesidor.
Bakdörren innehöll också skript speciellt utformade för att stjäla 2FA-koder.
Check Point sa att skadlig programvara kommer att fånga upp och vidarebefordra till angripare alla SMS som innehåller strängen "G-", som vanligtvis används för att prefixa 2FA-koder för Google-konton som skickas till användare via SMS.
Rampant Kitten-operatörer ska använda Android-trojaner för att tvinga enheten att öppna en Google-nätfiskesida, fånga användarens autentiseringsuppgifter och sedan få tillgång till kontot.
Om offret hade tvåfaktorsautentisering aktiverad, kunde kodsniffningsfunktionen tyst skicka kopior av tvåfaktorsautentiseringskoden till angripare, vilket gör att skyddet kan kringgås.
Check Point hittade också bevis för att skadlig programvara också automatiskt vidarebefordrar alla inkommande SMS-meddelanden från Telegram och andra sociala nätverk. Dessa meddelandetyper innehåller också 2FA-koder, och det är mycket troligt att gruppen använde den här funktionen för att kringgå 2FA på mer än bara Google-konton.
För tillfället maskerar sig skadlig programvara som en app som hjälper persisktalande i Sverige att ta körkort. Men det kan också gömma sig i andra appar som riktar sig mot iranier som är motståndare till Teheran-regimen som bor i och utanför Iran.
Även om det är allmänt accepterat att statligt sponsrade hackergrupper vanligtvis kan kringgå tvåfaktorsautentisering ändå, får vi väldigt sällan en uppfattning om deras verktyg och hur de gör det.