Hackers iranianos desenvolveram malware Android para roubar códigos 2FA de SMS

A empresa de segurança Check Point disse que descobriu um grupo de hackers iraniano que desenvolveu um malware especial para Android, capaz de interceptar e roubar códigos de autenticação de dois fatores (2FA) enviados via SMS.

O malware fazia parte de um arsenal de ferramentas de hacking desenvolvidas por um grupo de hackers que a empresa apelidou de  Rampant Kitten .

A Check Point diz que o grupo está ativo há pelo menos seis anos e está envolvido em uma operação de vigilância contínua contra as minorias iranianas, organizações anti-regime e movimentos de resistência, como:

• Associação de Famílias de Camp Ashraf e Residentes de Liberty (AFALR)
• Organização de Resistência Nacional do Azerbaijão
• o povo do Baluchistão

Essas campanhas envolveram o uso de um amplo espectro de famílias de malware, incluindo quatro variantes de infostealers do Windows e um backdoor do Android disfarçado em aplicativos maliciosos.

As cepas de malware do Windows foram usadas principalmente para roubar documentos pessoais da vítima, mas também arquivos do cliente de desktop Windows do Telegram, arquivos que teriam permitido que os hackers acessassem a conta do Telegram da vítima.

Além disso, as cepas de malware do Windows também roubaram arquivos do gerenciador de senhas KeePass, consistente com a descrição da funcionalidade em um alerta conjunto da  CISA e do FBI  sobre hackers iranianos e seu malware, emitido no início desta semana.

APLICATIVO ANDROID COM RECURSOS DE ROUBO DE 2FA

Mas enquanto os hackers da Rampant Kitten favoreciam os cavalos de Tróia do Windows, eles também desenvolveram ferramentas semelhantes para o Android.

Em um  relatório publicado hoje , os pesquisadores da Check Point disseram que também descobriram um potente backdoor Android desenvolvido pelo grupo. O backdoor pode roubar a lista de contatos da vítima e mensagens SMS, gravar silenciosamente a vítima através do microfone e mostrar páginas de phishing.

Mas a porta dos fundos também continha rotinas voltadas especificamente para o roubo de códigos 2FA.

A Check Point disse que o malware interceptaria e encaminharia para os invasores qualquer mensagem SMS que contivesse a string “G-“, normalmente usada para prefixar códigos 2FA para contas do Google enviadas aos usuários via SMS.

O pensamento é que os operadores do Rampant Kitten usariam o cavalo de Troia Android para mostrar uma página de phishing do Google, capturar as credenciais da conta do usuário e, em seguida, acessar a conta da vítima.

Se a vítima tivesse 2FA habilitado, a funcionalidade de interceptação de 2FA SMS do malware enviaria silenciosamente cópias do código 2FA SMS para os invasores, permitindo que eles contornassem o 2FA.

Mas não foi isso. A Check Point também encontrou evidências de que o malware também encaminharia automaticamente todas as mensagens SMS recebidas do Telegram e outros aplicativos de rede social. Esses tipos de mensagens também contêm códigos 2FA e é muito provável que o grupo usasse essa funcionalidade para ignorar 2FA em mais de contas do Google.

Embora seja amplamente aceito que grupos de hackers patrocinados pelo estado geralmente são capazes de contornar a 2FA, é muito raro obtermos uma visão sobre suas ferramentas e como elas fazem isso.

Rampant Kitten agora se junta ao APT20, um grupo de hackers patrocinado pelo estado chinês que também foi visto  contornando as soluções 2FA baseadas em hardware no ano passado.

Fonte: https://www.zdnet.com/article/iranian-hacker-group-developed-android-malware-to-steal-2fa-sms-codes/