- 首页
-
产品中心
检查监测和溯源类 访问控制类 基础防护类 文档安全 数据安全周边
- 解决方案
大数据安全 云数据安全- 行业案例
金融行业 能源行业 军工行业 社保行业 政府行业 公安行业 医疗行业 教育行业 税务行业 互联网行业 运营商行业 智慧城市行业 云安全- 新闻中心
公司新闻 数据泄露 行业新闻- 安全学院
伊朗黑客组织开发 Android 恶意软件用于窃取双因素验证短信
发布时间:2020-09-21
安全公司Check Point表示,它发现了一个伊朗黑客组织开发的特殊Android恶意软件,能够拦截和窃取通过短信发送的双因素验证(2FA)代码。该恶意软件是该公司昵称为Rampant Kitten的黑客组织开发的黑客工具库的一部分。
Check Point表示,该组织至少活跃了6年,一直在从事针对伊朗少数族裔、反对组织和抵抗运动的持续监视行动。
这些活动涉及使用广泛的恶意软件系列,包括四种Windows信息窃取工具的变种和伪装在恶意应用程序中的Android后门。
其开发的Windows恶意软件主要用于窃取受害者的个人文件,但也窃取Telegram的Windows桌面客户端的文件,这些文件允许黑客访问受害者的Telegram账户。
此外,面向Windows分支的恶意软件还窃取KeePass密码管理器中的文件,与本周早些时候发布的CISA和FBI关于伊朗黑客及其恶意软件的联合警报中的功能描述一致。
但虽然Rampant Kitten黑客偏爱开发Windows木马,但他们也为Android开发了类似的工具。
在今天发布的一份报告中,Check Point研究人员表示,他们还发现了该组织开发的一个强大的Android后门。该后门可以窃取受害者的通讯录列表和短信,通过麦克风悄悄记录受害者,并显示钓鱼页面。但更值得关注的是,该后门还包含专门针对窃取2FA(双因素认证)的代码。
Check Point表示,该恶意软件会拦截并转发给攻击者任何包含 “G-“字符串的短信,该字符串通常被用于通过短信向用户发送谷歌账户的2FA代码前缀。
其思路是,Rampant Kitten运营商会利用Android木马显示谷歌钓鱼页面,获取用户的账户凭证,然后访问受害者的账户。
如果受害者启用了2FA,恶意软件的2FA短信拦截功能就会悄悄地将2FA短信代码的副本发送给攻击者,让他们绕过2FA。
但事实并非如此。Check Point还发现有证据表明,该恶意软件还会自动转发所有来自Telegram和其他社交网络应用的接收短信。这些类型的消息也包含2FA代码,该团伙很有可能利用这一功能绕过2FA,而不是谷歌账户。
目前,Check Point表示,它发现这个恶意软件隐藏在一个Android应用内,伪装成帮助瑞典讲波斯语的人获得驾照的服务。然而,该恶意软件可能潜伏在其他针对反对德黑兰、生活在伊朗境内外的伊朗人的应用内。
虽然人们普遍认为国家支持的黑客组织通常能够绕过2FA,但我们很少能深入了解他们的工具和他们如何做到这一点。
中安威士:保护核心数据,捍卫网络安全!
来源:hackernews
400 006 8981/010-56266852
北京市海淀区中关村南大街34号中关村科技发展大厦C座19层
service@csbit.cn
3194423835
关注我们
400 006 8981/010-56266852
北京市海淀区中关村南大街34号中关村科技发展大厦C座19层
service@csbit.cn
- 解决方案