Шкідливе програмне забезпечення Android може обійти аутентифікацію SMS через 2FA

Фірма безпеки Check Point виявила групу іранських хакерів, які розробили шкідливе програмне забезпечення Android, здатне перехоплювати та красти коди двофакторної автентифікації (2FA), надіслані через SMS.

може

Сканування кошеня

Шкідливе програмне забезпечення є частиною арсеналу хакерських інструментів, розроблених групою, яку компанія назвала "Rampant Kitten".

"Чек-Пойнт" заявляє, що група діє принаймні шість років і бере участь у постійному нагляді за іранськими меншинами, антирежимними організаціями та рухами опору, такими як:

  • Асоціація сімей жителів табору Ашраф і Свобода (AFALR);
  • Організація національного опору Азербайджану;
  • жителів Белуджистану.

У цих кампаніях використовується широкий спектр шкідливих програм, у тому числі чотири варіанти шкідливого програмного забезпечення для Windows та задні двері Android, приховані у зловмисних програмах.

Штам зловмисного програмного забезпечення для Windows в основному використовувався для викрадення особистих документів у жертв, а також файлів із настільного клієнта програми Telegram - файлів, які нібито дозволяли хакерам отримати доступ до облікових записів Telegram жертв.

Штам зловмисного програмного забезпечення Windows також допоміг викрасти файли з менеджера паролів KeePass, згідно з описом функції у спільному попередженні CISA та ФБР про іранських хакерів та їх шкідливе програмне забезпечення, опублікованому на початку цього тижня.

Викрадення SMS-повідомлень 2FA

Якщо хакери Rampant Kitten просувають троянські програми в Windows, вони також розробили подібні інструменти для Android.

У звіті, опублікованому минулого тижня, дослідники Check Point пояснюють, що вони також виявили бекдор для Android, розроблений групою. Цей бэкдор може викрасти список контактів жертви та текстові повідомлення, непомітно записати їх через мікрофон та відобразити фішинг-сторінки. Але бекдор також містить процедури, спеціально спрямовані на викрадення кодів 2FA.

Check Point додає, що зловмисне програмне забезпечення перехоплює і передає зловмисникам будь-яке SMS-повідомлення, що містить рядок "G-", зазвичай використовуване для префікса 2FA-кодів облікових записів Google, надісланих користувачам через SMS.

Ідея полягає в тому, що оператори Rampant Kitten можуть використовувати Android Trojan для відкриття сторінки фішингу Google, введення облікових даних користувача та доступу до облікового запису жертви. Якщо останній увімкнув функцію 2FA, тоді засіб перехоплення SMS шкідливим програмним забезпеченням 2FA мовчки надсилає зловмисникам копії 2FA SMS-коду, дозволяючи їм обійти двофакторну автентифікацію.

Зламати кілька типів облікових записів

Check Point також знайшов докази того, що шкідливе програмне забезпечення автоматично пересилає всі вхідні текстові повідомлення з Telegram та інших додатків соціальних мереж. Цей тип повідомлень також містить коди 2FA, і дуже ймовірно, що група використовуватиме цю функцію, щоб обійти багатофакторну автентифікацію інших облікових записів, крім Google.

Хоча визнано, що державні хакерські групи, як правило, можуть обійти 2FA, дуже рідко можна отримати уявлення про їх інструменти та про те, як вони це роблять.

Rampant Kitten тепер має можливості, порівнянні з APT20, групою, близькою до китайської держави, яка вже встигла обійти апаратні рішення 2FA минулого року.