伊朗黑客组织开发 Android 恶意软件用于窃取双因素验证短信

安全公司Check Point表示，它发现了一个伊朗黑客组织开发的特殊Android恶意软件，能够拦截和窃取通过短信发送的双因素验证（2FA）代码。该恶意软件是该公司昵称为Rampant Kitten的黑客组织开发的黑客工具库的一部分。


伪装成欧盟驾照培训辅助应用的App

Check Point表示，该组织至少活跃了6年，一直在从事针对伊朗少数族裔、反对组织和抵抗运动的持续监视行动。

这些活动涉及使用广泛的恶意软件系列，包括四种Windows信息窃取工具的变种和伪装在恶意应用程序中的Android后门。

其开发的Windows恶意软件主要用于窃取受害者的个人文件，但也窃取Telegram的Windows桌面客户端的文件，这些文件允许黑客访问受害者的Telegram账户。

此外，面向Windows分支的恶意软件还窃取KeePass密码管理器中的文件，与本周早些时候发布的CISA和FBI关于伊朗黑客及其恶意软件的联合警报中的功能描述一致。

但虽然Rampant Kitten黑客偏爱开发Windows木马，但他们也为Android开发了类似的工具。

在今天发布的一份报告中，Check Point研究人员表示，他们还发现了该组织开发的一个强大的Android后门。该后门可以窃取受害者的通讯录列表和短信，通过麦克风悄悄记录受害者，并显示钓鱼页面。但更值得关注的是，该后门还包含专门针对窃取2FA（双因素认证）的代码。

Check Point表示，该恶意软件会拦截并转发给攻击者任何包含 “G-“字符串的短信，该字符串通常被用于通过短信向用户发送谷歌账户的2FA代码前缀。

其思路是，Rampant Kitten运营商会利用Android木马显示谷歌钓鱼页面，获取用户的账户凭证，然后访问受害者的账户。

如果受害者启用了2FA，恶意软件的2FA短信拦截功能就会悄悄地将2FA短信代码的副本发送给攻击者，让他们绕过2FA。

但事实并非如此。Check Point还发现有证据表明，该恶意软件还会自动转发所有来自Telegram和其他社交网络应用的接收短信。这些类型的消息也包含2FA代码，该团伙很有可能利用这一功能绕过2FA，而不是谷歌账户。

目前，Check Point表示，它发现这个恶意软件隐藏在一个Android应用内，伪装成帮助瑞典讲波斯语的人获得驾照的服务。然而，该恶意软件可能潜伏在其他针对反对德黑兰、生活在伊朗境内外的伊朗人的应用内。

虽然人们普遍认为国家支持的黑客组织通常能够绕过2FA，但我们很少能深入了解他们的工具和他们如何做到这一点。