网安 - 专业的网络安全产业、社区、知识平台

新型 Android 恶意软件可绕过 2FA,窃取 Telegram、Gmail 数据

Andrew2020-09-22 14:04:31

一个新的Android恶意软件变种已经被发现,这是Rampant Kitten威胁组织针对Telegram凭据等进行的广泛监视活动的一部分。

研究人员发现威胁组织发起了针对受害者的个人设备数据,浏览器凭据和电报消息应用程序文件的监视运动。该小组武器库中一个值得注意的工具是一个Android恶意软件,该恶意软件收集发送到设备的所有双因素身份验证(2FA)安全代码,sniffs out Telegram凭据并发起Google帐户网络钓鱼攻击。

研究人员发现,这个名为“ Rampant Kitten ”的威胁组织以监视行动为目标,至少针对伊朗实体长达六年之久。它专门针对伊朗少数民族和反政权组织,包括Camp Ashraf和Liberty Residents(AFALR)和Azerbaijan National Resistance Organization。

威胁组织依赖各种各样的工具来进行攻击,包括用于窃取Telegram和KeePass帐户信息的四种Windows信息窃取程序变体。假冒Telegram窃取密码的钓鱼页面;以及前面提到的Android后门程序,该后门程序从SMS消息中提取2FA代码并记录电话的语音环境。

Check Point Research的研究人员在上周五的一次分析中说:“追踪这次袭击的踪迹,揭示出一项大规模行动,基本上已经在雷达下保持了至少六年的时间。”“根据我们收集到的证据,似乎从伊朗行动的威胁行为者利用多种攻击手段监视受害者,攻击受害者的个人计算机和移动设备。”

袭击事件

研究人员首先通过文件发现了Rampant Kitten的竞选活动,该文件的标题翻译为“The Regime Fears the Spread of the Revolutionary Cannons.docx”。目前尚不清楚该文件是如何传播的(通过鱼叉式网络钓鱼或其他方式),但它旨在描述伊朗政权与Mujahedin-e Khalq运动之间正在进行的斗争。

打开后的文档会从远程服务器(afalr-SharePoint[.]com)加载文档模板,该服务器会假冒一个非营利性网站,以帮助伊朗持不同政见者。

猖kitten的小猫网络攻击

攻击媒介

然后,它下载恶意的宏代码,该代码执行批处理脚本以下载并执行下一阶段的有效负载。然后,此有效负载会检查受害者的系统上是否安装了流行的Telegram Messenger服务。如果是这样,它将从其资源中提取三个可执行文件。

这些可执行文件包括一个信息窃取程序,该窃取程序从受害人的计算机中提取电报文件,从KeePass密码管理应用程序窃取信息,上传可以找到的,以一组预定义扩展名结尾的任何文件,并记录剪贴板数据并获取桌面屏幕截屏。

研究人员能够追踪到该载荷的多个变体,其历史可追溯至2014年。Python信息窃取者(2018年2月至2020年1月),专注于从Telegram,Chrome,Firefox和Edge窃取数据;和HookInjEx变体(2014年12月至2020年5月),这是一个针对浏览器,设备音频,键盘记录和剪贴板数据的信息窃取者。

Android后门

在调查过程中,研究人员还发现了与相同威胁参与者有关联的恶意Android应用程序。该应用程序据称是一项服务,旨在帮助瑞典的波斯语使用者获得驾驶执照。

相反,一旦受害者下载了该应用程序,后门就会窃取其SMS消息并通过将所有包含2FA代码的SMS消息转发到攻击者控制的电话号码来绕过2FA。

研究人员说:“此恶意应用程序的独特功能之一是将任何以前缀G-(Google两因素身份验证码的前缀)开头的SMS转发到它从C2服务器接收的电话号码。” “此外,来自Telegram和其他社交网络应用程序的所有传入SMS消息也将自动发送到攻击者的电话号码。”

值得注意的是,该应用程序还针对目标受害者的Google帐户(Gmail)凭据发起了网络钓鱼攻击。在Android的WebView中向用户显示一个合法的Google登录页面。实际上,攻击者已经使用Android的JavascriptInterface窃取了输入的凭据,以及一个计时器,该计时器定期从用户名和密码输入字段中检索信息。

猖Kit的小猫网络攻击

电报网络钓鱼页面

它还会检索个人数据(例如联系人和帐户详细信息)并记录手机的周围环境。

研究人员说:“我们找到了同一应用程序的两个不同变体,一个似乎是为了测试目的而编译的,另一个是要在目标设备上部署的发行版。”

研究人员还警告说,威胁者拥有的网站仿冒Telegram的钓鱼页面。一个Telegram机器人正在发送网络钓鱼消息,警告接收者他们不正确地使用Telegram的服务,并且如果他们不进入网络钓鱼链接,其帐户将被阻止。

研究人员说:“由于我们确定的大多数目标是伊朗人,看来与归因于伊斯兰共和国的其他袭击类似,这可能是伊朗威胁行动者正在收集有关该政权潜在对手的情报的又一案例。”

软件电报
本作品采用《CC 协议》,转载必须注明作者和本文链接
Mac恶意软件窃取电报账户、Chrome密码、微信、联系人、印象笔记、Skype等敏感数据
2021-07-25 10:08:18
近期,安全研究人员发布了有关一系列MacOS恶意软件从多个应用程序中窃取登录信息的方法的详细信息,使其幕后操控者能够窃取账户,密码等敏感信息。
ToxicEye 恶意软件活动滥用的电报平台
2021-04-23 10:36:15
最新研究发现,即使未安装或使用该应用程序,威胁参与者也可以使用它通过电子邮件活动传播恶意软件并接管受害者的机器。一项新的研究发现,黑客通过将其代码嵌入称为ToxicEye的远程访问木马中来利用流行的Telegram消息传递应用程序。感染了ToxicEye恶意软件的受害者计算机是由黑客操作的电报消息帐户控制的。据Check Point Software Technologies的研究人员称,ToxicEye恶意软件可以接管文件系统,安装勒索软件并从受害者的PC泄漏数据。
以色列Shirbit保险公司遭勒索软件攻击数据泄露
2020-12-10 07:12:14
自称“ BlackShadow”的网络犯罪组织在推特上说,他们入侵了以色列Shirbit保险公司,并在攻击期间窃取了文件。从那时起,威胁行为者就一直在他们为此目的创建的一个电报频道上泄露受害者的文件和图像。
Gamaredon间谍软件变体盯上乌克兰
2023-02-08 10:46:50
Ubiquiti在2021年1月披露了 夏普数据被盗后的一起安全事件。Ubiquiti 拒绝付款,而是更改了所有员工凭证,发现并禁用了其系统的第二个后门,并于1月11日发布了安全漏洞通知。Ubiquiti 的股价下跌了近20%,导致市值损失超过40 亿美元。4月1日,该公司证实。据悉,Firebrick Ostrich是一个以接近工业规模执行 BEC的攻击团伙。
ToxicEye RAT 利用电报通窃取信受害者数据
2021-04-26 10:34:38
研究人员注意到,ToxicEye RAT配置文件包含一个Telegram机器人,该机器人被编译为可执行文件。任何被此恶意有效载荷感染的受害者都可以通过Telegram僵尸程序进行攻击,该僵尸程序通过Telegram将用户的设备连接回攻击者的C&C。该恶意软件使攻击者能够传输和删除文件,杀死PC进程并接管任务管理器。该恶意软件还可以部署键盘记录器,劫持麦克风,摄像头和剪贴板中的内容。
揭秘2023年5月全球勒索软件攻击趋势
2023-06-29 16:09:41
与上个月的勒索软件统计数据相比,5 月份的激增表明报告的攻击数量增加了56%。8BASE泄漏现场 该报告发现,第二个勒索软件组织 Akira 也于今年 5 月在黑客领域掀起了轩然大波,但其在线影响力似乎比其他组织更为有限。尽管臭名昭著的 Lockbit 团伙仍被认为是目前最活跃的威胁行为者。
伊朗相关的新手黑客通过 RDP 端口传播 Dharma 勒索软件
2020-08-25 14:27:51
据透露,在俄罗斯,日本,中国和印度,运营商扫描了具有面向互联网的RDP且凭据薄弱的主机的IP范围。有趣的是,威胁参与者可能没有明确的计划来处理受感染的网络。网络侦察活动完成后,对手使用收集的信息使用RDP协议在网络上横向移动。该公司还专门从事备受瞩目的网络调查和IP保护服务。IB集团的威胁情报系统已被Gartner,Forrester和IDC评为同类最佳的系统之一,而其威胁检测系统则被公认为网络检测和响应的领导者之一。
网络安全如何影响北京冬奥会?
2021-12-08 12:17:33
日本电报电话公司(NTT)帮助国际奥委会逃过一劫,幸运地躲开了东京奥运会网络安全“问题”。
DeFi正在吞嚼金融业
2021-10-31 09:30:14
马克·安德森2011年撰写的文章中描述了软件原生公司是怎样吞嚼现有企业并革新行业的。亚马逊取代了零售业,Spotify取代了唱片业,LinkedIn取代了招聘业-它们都准备取代没有建立互联网原生业务的现有企业。为什么?软件原生企业更快,更便宜,对使用者更友好。对马克来说,软件吞嚼每个行业仅是时间问题。但是对金融来说,这种说法是不对的。我们的金融系统仍然基于古老的基础设施。吉姆·比安可在播客上指出,
Andrew
暂无描述