Новий вірус дозволяє хакерам обходити двофакторну автентифікацію на Android

Команія з кібербезпеки Check Point заявила, що виявила іранську хакерську групу, яка розробила спеціальне шкідливе ПЗ для Android. Воно дозволяє їм обходити двофакторну автентифікацію – перехоплювати і викрадати коди (2FA), що відправляються через SMS. Шкідлива програма входила в арсенал інструментів, розроблених хакерською групою Rampant Kitten.

• Microsoft видалила нову функцію з Windows Defender через проблеми з безпекою
• YouTube позбавить користувачів чотирьох функцій
• WhatsApp впровадить нову функцію автентифікації для веб-версії

Check Point заявляє, що група діє не менше шести років і бере участь в постійній операції зі спостереження за іранськими меншинами, антиурядовими організаціями і рухами опору. У цих кампаніях використовувався широкий спектр сімейств шкідливих програм, включаючи чотири варіанти інфостилерівв для Windows і бекдор Android, замаскований всередині шкідливих додатків. Штами шкідливих програм для Windows, в основному, використовувалися для крадіжки особистих документів жертви і отримання доступу до облікового запису Telegram, а також файлів з месенджера. Хакери також викрадали файли з диспетчера паролів KeePass.

Як використовували двофакторну автентифікацію для Android

Хоча хакери Rampant Kitten надавали перевагу троянам для Windows, вони також розробили аналогічні інструменти для Android. В опублікованому звіті, дослідники Check Point заявили, що вони також виявили серйозний бекдор для Android, розроблений цією групою. Це дозволяло їм викрасти список контактів жертви і SMS-повідомлення, непомітно записати жертву через мікрофон і показувати фішингові сторінки. Але також бекдор містив процедури, спеціально призначені для крадіжки кодів 2FA.

Check Point заявила, що розроблена шкідлива програма перехоплюватиме і пересилатиме зловмисникам будь-яке SMS-повідомлення, що містить літеру «G-». Вона використовується для префікса кодів 2FA, що відправляються користувачам через SMS, при спробі ввійти у свій обліковий запис Google.

Передбачається, що хакери Rampant Kitten використовуватимуть троян для Android, щоб відображати фішингову сторінку Google і захопити облікові дані користувача. В подальшому – отримати доступ до облікового запису жертви.

Check Point також виявила докази того, що шкідлива програма автоматично пересилає всі вхідні SMS-повідомлення з Telegram й інших додатків соціальних мереж. Ці типи повідомлень також містять коди 2FA, і дуже ймовірно, що група використовувала цю функцію для обходу 2FA не лише для профілів Google.

Наразі, це шкідливе ПЗ виявили всередині програми для Android, що маскується під послугу, яка допомагає носіям перської мови в Швеції отримати водійські права. Однак, воно може ховатися всередині й інших додатків.

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.