Команія з кібербезпеки Check Point заявила, що виявила іранську хакерську групу, яка розробила спеціальне шкідливе ПЗ для Android. Воно дозволяє їм обходити двофакторну автентифікацію – перехоплювати і викрадати коди (2FA), що відправляються через SMS. Шкідлива програма входила в арсенал інструментів, розроблених хакерською групою Rampant Kitten.
- Microsoft видалила нову функцію з Windows Defender через проблеми з безпекою
- YouTube позбавить користувачів чотирьох функцій
- WhatsApp впровадить нову функцію автентифікації для веб-версії
Check Point заявляє, що група діє не менше шести років і бере участь в постійній операції зі спостереження за іранськими меншинами, антиурядовими організаціями і рухами опору. У цих кампаніях використовувався широкий спектр сімейств шкідливих програм, включаючи чотири варіанти інфостилерівв для Windows і бекдор Android, замаскований всередині шкідливих додатків. Штами шкідливих програм для Windows, в основному, використовувалися для крадіжки особистих документів жертви і отримання доступу до облікового запису Telegram, а також файлів з месенджера. Хакери також викрадали файли з диспетчера паролів KeePass.
Як використовували двофакторну автентифікацію для Android
Хоча хакери Rampant Kitten надавали перевагу троянам для Windows, вони також розробили аналогічні інструменти для Android. В опублікованому звіті, дослідники Check Point заявили, що вони також виявили серйозний бекдор для Android, розроблений цією групою. Це дозволяло їм викрасти список контактів жертви і SMS-повідомлення, непомітно записати жертву через мікрофон і показувати фішингові сторінки. Але також бекдор містив процедури, спеціально призначені для крадіжки кодів 2FA.
Check Point заявила, що розроблена шкідлива програма перехоплюватиме і пересилатиме зловмисникам будь-яке SMS-повідомлення, що містить літеру «G-». Вона використовується для префікса кодів 2FA, що відправляються користувачам через SMS, при спробі ввійти у свій обліковий запис Google.
Передбачається, що хакери Rampant Kitten використовуватимуть троян для Android, щоб відображати фішингову сторінку Google і захопити облікові дані користувача. В подальшому – отримати доступ до облікового запису жертви.
Check Point також виявила докази того, що шкідлива програма автоматично пересилає всі вхідні SMS-повідомлення з Telegram й інших додатків соціальних мереж. Ці типи повідомлень також містять коди 2FA, і дуже ймовірно, що група використовувала цю функцію для обходу 2FA не лише для профілів Google.
Наразі, це шкідливе ПЗ виявили всередині програми для Android, що маскується під послугу, яка допомагає носіям перської мови в Швеції отримати водійські права. Однак, воно може ховатися всередині й інших додатків.