La firma de seguridad Check Point dijo que descubrió un grupo de piratería iraní que ha desarrollado un malware Android capaz de interceptar y robar códigos de autenticación de dos factores (2FA) enviados a través de SMS. El malware era parte de un arsenal de herramientas de piratería desarrolladas por un grupo de piratas informáticos al que la compañía ha apodado Rampant Kitten.
Check Point dice que el grupo ha estado activo durante al menos seis años. Ha estado involucrado en una operación de vigilancia en curso contra las minorías iraníes, organizaciones anti-régimen y movimientos de resistencia como:
– Asociación de familias de residentes del campamento Ashraf y Liberty (AFALR)
– Organización Nacional de Resistencia de Azerbaiyán
– El pueblo de Baluchistán
Estas campañas involucraron el uso de un amplio espectro de familias de malware, incluidas cuatro variantes de los robadores de información de Windows y una puerta trasera de Android disfrazada dentro de aplicaciones maliciosas.
Las cepas de malware de Windows se utilizaron principalmente para robar los documentos personales de la víctima. Roba también archivos del cliente de escritorio de Windows de Telegram. Archivos que habrían permitido a los piratas informáticos acceder a la cuenta de Telegram de la víctima. Además, las cepas de malware de Windows también robaron archivos del administrador de contraseñas KeePass, de acuerdo con la funcionalidad descrita en una alerta conjunta de CISA y FBI sobre piratas informáticos iraníes y su malware, emitida a principios de esta semana.
Aplicación de Android con capacidades de robo de 2FA
Pero aunque los hackers de Rampant Kitten favorecieron los troyanos de Windows, también desarrollaron herramientas similares para Android. En un informe, los investigadores de Check Point dijeron que también descubrieron una potente puerta trasera de Android desarrollada por el grupo. La puerta trasera podría robar la lista de contactos y los mensajes SMS de la víctima. También grabar silenciosamente a la víctima a través del micrófono y mostrar páginas de phishing. Pero la puerta trasera también contenía rutinas que se centraban específicamente en robar códigos 2FA.
Check Point dijo que el malware interceptaría y enviaría a los atacantes cualquier mensaje SMS que contuviera la cadena «G-«. Generalmente empleada para prefijar los códigos 2FA para las cuentas de Google enviadas a los usuarios a través de SMS. La idea es que los operadores de Rampant Kitten usarían el troyano Android para mostrar una página de phishing de Google, capturar las credenciales de la cuenta del usuario y luego acceder a la cuenta de la víctima. Si la víctima tenía 2FA habilitado, la funcionalidad de interceptación de SMS 2FA del malware enviaría silenciosamente copias del código 2FA SMS a los atacantes, permitiéndoles omitir 2FA.
Pero eso no fue todo
Check Point también encontró evidencia de que el malware también reenvía automáticamente todos los mensajes SMS entrantes de Telegram y otras aplicaciones de redes sociales. Estos tipos de mensajes también contienen códigos 2FA, y es muy probable que el grupo estuviera usando esta funcionalidad para omitir 2FA en más cuentas de Google.
Por ahora, Check Point dijo que encontró este malware oculto dentro de una aplicación de Android que se hace pasar por un servicio para ayudar a los hablantes de persa en Suecia a obtener su licencia de conducir. Sin embargo, el malware podría estar al acecho dentro de otras aplicaciones dirigidas a iraníes que se oponen al régimen de Teherán, que viven dentro y fuera de Irán.
Si bien está ampliamente aceptado que los grupos de piratería patrocinados por el estado generalmente son capaces de eludir 2FA, es muy raro que obtengamos una idea de sus herramientas y cómo lo hacen. Rampant Kitten ahora se une a las filas de APT20, un grupo de piratas informáticos patrocinado por el estado chino que también pasó por alto las soluciones 2FA basadas en hardware el año pasado.
Origen: Iranian hacker group developed Android malware to steal 2FA SMS codes | ZDNet
