安全公司Check Point表示，它發(fā)現(xiàn)了一個(gè)伊朗黑客組織開發(fā)的特殊Android惡意軟件，能夠攔截和竊取通過(guò)短信發(fā)送的雙因素驗(yàn)證（2FA）代碼。該惡意軟件是該公司昵稱為Rampant Kitten的黑客組織開發(fā)的黑客工具庫(kù)的一部分。

偽裝成歐盟駕照培訓(xùn)輔助應(yīng)用的App

Check Point表示，該組織至少活躍了6年，一直在從事針對(duì)伊朗少數(shù)族裔、反對(duì)組織和抵抗運(yùn)動(dòng)的持續(xù)監(jiān)視行動(dòng)。

這些活動(dòng)涉及使用廣泛的惡意軟件系列，包括四種Windows信息竊取工具的變種和偽裝在惡意應(yīng)用程序中的Android后門。

其開發(fā)的Windows惡意軟件主要用于竊取受害者的個(gè)人文件，但也竊取Telegram的Windows桌面客戶端的文件，這些文件允許黑客訪問(wèn)受害者的Telegram賬戶。

此外，面向Windows分支的惡意軟件還竊取KeePass密碼管理器中的文件，與本周早些時(shí)候發(fā)布的CISA和FBI關(guān)于伊朗黑客及其惡意軟件的聯(lián)合警報(bào)中的功能描述一致。

但雖然Rampant Kitten黑客偏愛開發(fā)Windows木馬，但他們也為Android開發(fā)了類似的工具。

在今天發(fā)布的一份報(bào)告中，Check Point研究人員表示，他們還發(fā)現(xiàn)了該組織開發(fā)的一個(gè)強(qiáng)大的Android后門。該后門可以竊取受害者的通訊錄列表和短信，通過(guò)麥克風(fēng)悄悄記錄受害者，并顯示釣魚頁(yè)面。但更值得關(guān)注的是，該后門還包含專門針對(duì)竊取2FA（雙因素認(rèn)證）的代碼。

Check Point表示，該惡意軟件會(huì)攔截并轉(zhuǎn)發(fā)給攻擊者任何包含 “G-“字符串的短信，該字符串通常被用于通過(guò)短信向用戶發(fā)送谷歌賬戶的2FA代碼前綴。

其思路是，Rampant Kitten運(yùn)營(yíng)商會(huì)利用Android木馬顯示谷歌釣魚頁(yè)面，獲取用戶的賬戶憑證，然后訪問(wèn)受害者的賬戶。

如果受害者啟用了2FA，惡意軟件的2FA短信攔截功能就會(huì)悄悄地將2FA短信代碼的副本發(fā)送給攻擊者，讓他們繞過(guò)2FA。

但事實(shí)并非如此。Check Point還發(fā)現(xiàn)有證據(jù)表明，該惡意軟件還會(huì)自動(dòng)轉(zhuǎn)發(fā)所有來(lái)自Telegram和其他社交網(wǎng)絡(luò)應(yīng)用的接收短信。這些類型的消息也包含2FA代碼，該團(tuán)伙很有可能利用這一功能繞過(guò)2FA，而不是谷歌賬戶。

目前，Check Point表示，它發(fā)現(xiàn)這個(gè)惡意軟件隱藏在一個(gè)Android應(yīng)用內(nèi)，偽裝成幫助瑞典講波斯語(yǔ)的人獲得駕照的服務(wù)。然而，該惡意軟件可能潛伏在其他針對(duì)反對(duì)德黑蘭、生活在伊朗境內(nèi)外的伊朗人的應(yīng)用內(nèi)。

雖然人們普遍認(rèn)為國(guó)家支持的黑客組織通常能夠繞過(guò)2FA，但我們很少能深入了解他們的工具和他們?nèi)绾巫龅竭@一點(diǎn)。

?（稿源：cnBeta）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/