新型 Android 恶意软件可绕过 2FA,窃取 Telegram、Gmail 数据

Andrew 2020-09-22
专栏 - 资讯 发布于 2020-09-22 14:04:31 阅读 84 评论 0

一个新的Android恶意软件变种已经被发现,这是Rampant Kitten威胁组织针对Telegram凭据等进行的广泛监视活动的一部分。

研究人员发现威胁组织发起了针对受害者的个人设备数据,浏览器凭据和电报消息应用程序文件的监视运动。该小组武器库中一个值得注意的工具是一个Android恶意软件,该恶意软件收集发送到设备的所有双因素身份验证(2FA)安全代码,sniffs out Telegram凭据并发起Google帐户网络钓鱼攻击。

研究人员发现,这个名为“ Rampant Kitten ”的威胁组织以监视行动为目标,至少针对伊朗实体长达六年之久。它专门针对伊朗少数民族和反政权组织,包括Camp Ashraf和Liberty Residents(AFALR)和Azerbaijan National Resistance Organization。

威胁组织依赖各种各样的工具来进行攻击,包括用于窃取Telegram和KeePass帐户信息的四种Windows信息窃取程序变体。假冒Telegram窃取密码的钓鱼页面;以及前面提到的Android后门程序,该后门程序从SMS消息中提取2FA代码并记录电话的语音环境。

Check Point Research的研究人员在上周五的一次分析中说:“追踪这次袭击的踪迹,揭示出一项大规模行动,基本上已经在雷达下保持了至少六年的时间。”“根据我们收集到的证据,似乎从伊朗行动的威胁行为者利用多种攻击手段监视受害者,攻击受害者的个人计算机和移动设备。”

袭击事件

研究人员首先通过文件发现了Rampant Kitten的竞选活动,该文件的标题翻译为“The Regime Fears the Spread of the Revolutionary Cannons.docx”。目前尚不清楚该文件是如何传播的(通过鱼叉式网络钓鱼或其他方式),但它旨在描述伊朗政权与Mujahedin-e Khalq运动之间正在进行的斗争。

打开后的文档会从远程服务器(afalr-SharePoint[.]com)加载文档模板,该服务器会假冒一个非营利性网站,以帮助伊朗持不同政见者。

猖kitten的小猫网络攻击

攻击媒介

然后,它下载恶意的宏代码,该代码执行批处理脚本以下载并执行下一阶段的有效负载。然后,此有效负载会检查受害者的系统上是否安装了流行的Telegram Messenger服务。如果是这样,它将从其资源中提取三个可执行文件。

这些可执行文件包括一个信息窃取程序,该窃取程序从受害人的计算机中提取电报文件,从KeePass密码管理应用程序窃取信息,上传可以找到的,以一组预定义扩展名结尾的任何文件,并记录剪贴板数据并获取桌面屏幕截屏。

研究人员能够追踪到该载荷的多个变体,其历史可追溯至2014年。Python信息窃取者(2018年2月至2020年1月),专注于从Telegram,Chrome,Firefox和Edge窃取数据;和HookInjEx变体(2014年12月至2020年5月),这是一个针对浏览器,设备音频,键盘记录和剪贴板数据的信息窃取者。

Android后门

在调查过程中,研究人员还发现了与相同威胁参与者有关联的恶意Android应用程序。该应用程序据称是一项服务,旨在帮助瑞典的波斯语使用者获得驾驶执照。

相反,一旦受害者下载了该应用程序,后门就会窃取其SMS消息并通过将所有包含2FA代码的SMS消息转发到攻击者控制的电话号码来绕过2FA。

研究人员说:“此恶意应用程序的独特功能之一是将任何以前缀G-(Google两因素身份验证码的前缀)开头的SMS转发到它从C2服务器接收的电话号码。” “此外,来自Telegram和其他社交网络应用程序的所有传入SMS消息也将自动发送到攻击者的电话号码。”

值得注意的是,该应用程序还针对目标受害者的Google帐户(Gmail)凭据发起了网络钓鱼攻击。在Android的WebView中向用户显示一个合法的Google登录页面。实际上,攻击者已经使用Android的JavascriptInterface窃取了输入的凭据,以及一个计时器,该计时器定期从用户名和密码输入字段中检索信息。

猖Kit的小猫网络攻击

电报网络钓鱼页面

它还会检索个人数据(例如联系人和帐户详细信息)并记录手机的周围环境。

研究人员说:“我们找到了同一应用程序的两个不同变体,一个似乎是为了测试目的而编译的,另一个是要在目标设备上部署的发行版。”

研究人员还警告说,威胁者拥有的网站仿冒Telegram的钓鱼页面。一个Telegram机器人正在发送网络钓鱼消息,警告接收者他们不正确地使用Telegram的服务,并且如果他们不进入网络钓鱼链接,其帐户将被阻止。

研究人员说:“由于我们确定的大多数目标是伊朗人,看来与归因于伊斯兰共和国的其他袭击类似,这可能是伊朗威胁行动者正在收集有关该政权潜在对手的情报的又一案例。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!