聲明：該文章由作者（ksbugs）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

安全公司Check Point表示，它發(fā)現(xiàn)了一個伊朗黑客組織開發(fā)的特殊Android惡意軟件，能夠攔截和竊取通過短信發(fā)送的雙因素驗證（2FA）代碼。該惡意軟件是該公司昵稱為Rampant Kitten的黑客組織開發(fā)的黑客工具庫的一部分。

偽裝成歐盟駕照培訓(xùn)輔助應(yīng)用的App

Check Point表示，該組織至少活躍了6年，一直在從事針對伊朗少數(shù)族裔、反對組織和抵抗運動的持續(xù)監(jiān)視行動。

這些活動涉及使用廣泛的惡意軟件系列，包括四種Windows信息竊取工具的變種和偽裝在惡意應(yīng)用程序中的Android后門。

其開發(fā)的Windows惡意軟件主要用于竊取受害者的個人文件，但也竊取Telegram的Windows桌面客戶端的文件，這些文件允許黑客訪問受害者的Telegram賬戶。

此外，面向Windows分支的惡意軟件還竊取KeePass密碼管理器中的文件，與本周早些時候發(fā)布的CISA和FBI關(guān)于伊朗黑客及其惡意軟件的聯(lián)合警報中的功能描述一致。

但雖然Rampant Kitten黑客偏愛開發(fā)Windows木馬，但他們也為Android開發(fā)了類似的工具。

在今天發(fā)布的一份報告中，Check Point研究人員表示，他們還發(fā)現(xiàn)了該組織開發(fā)的一個強大的Android后門。該后門可以竊取受害者的通訊錄列表和短信，通過麥克風悄悄記錄受害者，并顯示釣魚頁面。但更值得關(guān)注的是，該后門還包含專門針對竊取2FA（雙因素認證）的代碼。

Check Point表示，該惡意軟件會攔截并轉(zhuǎn)發(fā)給攻擊者任何包含 “G-“字符串的短信，該字符串通常被用于通過短信向用戶發(fā)送谷歌賬戶的2FA代碼前綴。

其思路是，Rampant Kitten運營商會利用Android木馬顯示谷歌釣魚頁面，獲取用戶的賬戶憑證，然后訪問受害者的賬戶。

如果受害者啟用了2FA，惡意軟件的2FA短信攔截功能就會悄悄地將2FA短信代碼的副本發(fā)送給攻擊者，讓他們繞過2FA。

但事實并非如此。Check Point還發(fā)現(xiàn)有證據(jù)表明，該惡意軟件還會自動轉(zhuǎn)發(fā)所有來自Telegram和其他社交網(wǎng)絡(luò)應(yīng)用的接收短信。這些類型的消息也包含2FA代碼，該團伙很有可能利用這一功能繞過2FA，而不是谷歌賬戶。

目前，Check Point表示，它發(fā)現(xiàn)這個惡意軟件隱藏在一個Android應(yīng)用內(nèi)，偽裝成幫助瑞典講波斯語的人獲得駕照的服務(wù)。然而，該惡意軟件可能潛伏在其他針對反對德黑蘭、生活在伊朗境內(nèi)外的伊朗人的應(yīng)用內(nèi)。

雖然人們普遍認為國家支持的黑客組織通常能夠繞過2FA，但我們很少能深入了解他們的工具和他們?nèi)绾巫龅竭@一點。

?（稿源：cnBeta）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/