Η εταιρεία ασφαλείας Check Point δήλωσε ότι ανακάλυψε μια ιρανική ομάδα hacking που έχει αναπτύξει ειδικό malware Android το οποίο είναι ικανό να κλέψει κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA) που αποστέλλονται μέσω SMS. Το malware ήταν μέρος ενός οπλοστασίου εργαλείων hacking που αναπτύχθηκε από μια ομάδα hacking με το παρατσούκλι Rampant Kitten.
Η Check Point αναφέρει ότι η ομάδα δραστηριοποιείται για τουλάχιστον έξι χρόνια και κυρίως στοχεύει ιρανικές μειονότητες, αντι-καθεστωτικές οργανώσεις και κινήματα αντίστασης.
Αυτές οι καμπάνιες περιελάμβαναν τη χρήση πολλών διαφορετικών malware, συμπεριλαμβανομένων τεσσάρων παραλλαγών των Windows infostealers και ενός «Android backdoor».
Τα στελέχη malware των Windows χρησιμοποιήθηκαν κυρίως για να κλέψουν τα προσωπικά έγγραφα του θύματος, αλλά και αρχεία από τον Windows desktop client του Telegram τα οποία θα επέτρεπαν στους εισβολείς να έχουν πρόσβαση στον λογαριασμό Telegram του θύματος.
Επιπλέον, τα στελέχη malware των Windows έκλεψαν επίσης αρχεία από τον password manager KeePass.
Android app με δυνατότητες κλοπης 2FA
Αλλά ενώ οι χάκερ της ομάδας Rampant Kitten ευνόησαν τα trojans των Windows, ανέπτυξαν επίσης παρόμοια εργαλεία για το Android.
Σε μια έκθεση που δημοσιεύθηκε σήμερα, οι ερευνητές της Check Point δήλωσαν ότι ανακάλυψαν ένα ισχυρό Android backdoor που αναπτύχθηκε από την ομάδα. Το backdoor θα μπορούσε να κλέψει τη λίστα επαφών του θύματος και τα μηνύματα SMS, να καταγράφει τι λέει το θύμα μέσω του μικροφώνου και να εμφανίζει σελίδες phishing.
Όμως, το backdoor περιείχε επίσης εργασίες που τρέχουν ανα τακτά χρονικά διαστήματα που επικεντρώνονται στην κλοπή των κωδικών 2FA.
Η Check Point είπε ότι το κακόβουλο λογισμικό θα προωθήσει στους εισβολείς οποιοδήποτε μήνυμα SMS που περιείχε τη συμβολοσειρά “G-“, που χρησιμοποιείται συνήθως για το πρόθεμα των κωδικών 2FA για λογαριασμούς Google που αποστέλλονται στους χρήστες μέσω SMS.
Η σκέψη είναι: Οι χειριστές Rampant Kitten θα χρησιμοποιούσαν το trojan Android για να εμφανίσουν μια σελίδα phishing της Google, να καταγράψουν τα credentials του χρήστη και, στη συνέχεια, να αποκτήσουν πρόσβαση στον λογαριασμό του θύματος.
Εάν το θύμα είχε ενεργοποιήσει το 2FA, η λειτουργία αναχαίτισης των SMS του 2FA του κακόβουλου λογισμικού θα έστελνε κρυφά αντίγραφα των μηνυμάτων 2FA στους εισβολείς, επιτρέποντάς τους να παρακάμψουν το 2FA.
Αλλά δεν ήταν μόνο αυτό. Η Check Point εντόπισε επίσης στοιχεία ότι το malware θα προωθούσε επίσης αυτόματα όλα τα εισερχόμενα μηνύματα SMS από το Telegram και άλλες εφαρμογές κοινωνικού δικτύου. Αυτοί οι τύποι μηνυμάτων περιέχουν επίσης κωδικούς 2FA και είναι πολύ πιθανό η ομάδα να χρησιμοποίησε αυτήν τη λειτουργία για να παρακάμψει το 2FA όχι μόνο σε λογαριασμούς της Google.
Αν και είναι ευρέως αποδεκτό ότι οι κυβερνητικές ομάδες hacking είναι συνήθως σε θέση να παρακάμψουν το 2FA, σπάνια έχουμε εικόνα για τα εργαλεία τους και πώς το κάνουν.
Η Rampant Kitten εντάσσεται τώρα στις τάξεις του APT20, μιας κινεζικής ομάδας hacking που χρηματοδοτείται από το κράτος, η οποία φάνηκε επίσης να παρακάμπτει τα 2FA που βασίζονται σε hardware πέρυσι.
