Хакери створили програмне забезпечення для крадіжки SMS кодів для двофакторної аутентифікації

Останнє оновлення Гру 1, 2022

Шкідлива програма змогла вкрасти SMS коди для 2FA облікових записів Google. Під загрозою також Telegram та інші соціальні мережі.

Фахівці з безпеки з компанії Check Point заявили, що іранська група хакерів розробила спеціальне шкідливе ПЗ для Android, здатне перехоплювати коди двофакторної аутентифікації (2FA), що відправляються по SMS.

Шкідлива програма входила до арсеналу хакерських інструментів, розроблених групою хакерів, яку компанія назвала Rampant Kitten.

Check Point заявляє, що група діє не менше шести років і бере участь у постійній операції зі спостереження за іранськими меншинами, антиурядовими організаціями та рухами опору, такими як:

Асоціація сімей табору Ашраф та мешканців Свободи (AFALR)
Азербайджанська Національна Організація Опору
народ Белуджистану

Хакери використовують широкий спектр шкідливих програм, у тому числі чотири варіанти інфостилерів для Windows і бекдор в Android, замаскований усередині шкідливих програм.

Шкідливе програмне забезпечення для Windows в основному використовувалися для крадіжки особистих документів, а також файлів з настільного клієнта Telegram для Windows, які дозволили б хакерам отримати доступ до облікового запису Telegram жертви.

Крім того, шкідливі програми для Windows викрадали файли з диспетчера паролів KeePass. Це відповідає опису функціональності у спільному попередженні CISA та ФБР про іранських хакерів та їх шкідливе ПЗ, опубліковане раніше цього тижня.

Додаток для обходу 2ФА

Але хоча хакери Rampant Kitten віддавали перевагу троянам для Windows, вони також розробили аналогічні інструменти для Android.

В опублікованому вчора звіті дослідники Check Point заявили, що вони також виявили потужний бекдор Android, розроблений групою. Бекдор міг вкрасти список контактів жертви та SMS-повідомлення, непомітно активувати мікрофон та переходити на фішингові сторінки.

Бекдор також містив скрипти спеціально призначені для крадіжки кодів 2FA.

Check Point заявила, що шкідлива програма перехоплюватиме і пересилатиме зловмисникам будь-яке SMS-повідомлення, що містить рядок «G-», який зазвичай використовується для префіксу кодів 2FA для облікових записів Google, що надсилаються користувачам через SMS.

Передбачається, що оператори Rampant Kitten будуть використовувати трояни для Android, щоб змусити пристрій відкрити фішингову сторінку Google, захопити облікові дані користувача, а потім отримати доступ до облікового запису.

Якщо б у жертви було включено двофакторну автентифікацію, функція перехоплення кодів могла б непомітно відправляти копії коду двофакторної автентифікації зловмисникам, дозволяючи обійти захист.

Check Point також виявила докази, що шкідлива програма також автоматично пересилає всі вхідні SMS-повідомлення з Telegram та інших соціальних мереж. Ці типи повідомлень також містять коди 2FA, і ймовірно, що група використовувала цю функцію для обходу 2FA не тільки на облікових записах Google.

На даний момент шкідливе ПЗ маскується під додаток, що допомагає носіям перської мови в Швеції отримати права водія. Однак воно могло ховатися і всередині інших додатків, націлених на іранців, які виступають проти режиму Тегерана, що живуть в Ірані та за його межами.

Хоча загальновизнано, що хакерські групи, спонсоровані державою, зазвичай і так можуть обходити двофакторну автентифікацію, ми дуже рідко отримуємо уявлення про їхні інструменти та про те, як вони це роблять.