首页 >> 网络安全 >>病毒分析 >> Android恶意软件绕过2FA并定向电报,Gmail密码
详细内容

Android恶意软件绕过2FA并定向电报,Gmail密码

时间:2020-09-22     【转载】   阅读

Rampant Kitten威胁小组针对电报凭证等进行的广泛监视活动的一部分,已经发现了一种新的Android恶意软件菌株。


研究人员发现威胁组织发起了针对受害者的个人设备数据,浏览器凭据和电报消息应用程序文件的监视运动。该小组武器库中一个值得注意的工具是一个Android恶意软件,该恶意软件收集发送到设备的所有两因素身份验证(2FA)安全代码,嗅探Telegram凭据并发起Google帐户网络钓鱼攻击。


研究人员发现,这个名为“ Rampant Kitten”的威胁组织以监视行动为目标,至少针对伊朗实体长达六年之久。它专门针对伊朗少数民族和反政权组织,包括阿什拉夫营地家庭协会和自由居民组织(AFALR);和阿塞拜疆国家抵抗组织。


威胁组依靠各种各样的工具来进行攻击,包括用于窃取Telegram和KeePass帐户信息的四个Windows信息窃取程序变体。假冒Telegram窃取密码的钓鱼页面;以及前面提到的Android后门程序,该后门程序从SMS消息中提取2FA代码并记录电话的语音环境。


Check Point Research的研究人员在上周五的一次分析中说:“追踪这次袭击的踪迹,揭示出一项大规模行动,基本上已经在雷达下保持了至少六年的时间。” “根据我们收集到的证据,似乎从伊朗行动的威胁行为者利用多种攻击手段监视受害者,攻击受害者的个人计算机和移动设备。”


进攻

研究人员首先通过文件发现了Rampant Kitten的竞选活动,该文件的标题翻译为“政权害怕革命大炮的传播。docx”。目前尚不清楚该文件是如何传播的(通过鱼叉式网络钓鱼或其他方式),但它旨在描述伊朗政权与革命大炮(反政权,圣战者哈尔克运动)之间的持续斗争。


打开后的文档会从远程服务器(afalr-sharepoint [。] com)加载文档模板,该服务器会假冒一个非营利性网站,以帮助伊朗持不同政见者。

1.png

然后,它下载恶意的宏代码,该代码执行批处理脚本以下载并执行下一阶段的有效负载。然后,此有效负载会检查受灾者的系统上是否安装了流行的Telegram Messenger服务。如果是这样,它将从其资源中提取三个可执行文件。


这些可执行文件包括一个信息窃取程序,该窃取程序从受害人的计算机中提取电报文件,从KeePass密码管理应用程序窃取信息,上载可以找到的,以一组预定义扩展名结尾的任何文件,并记录剪贴板数据并获取桌面屏幕快照。 。


研究人员能够追踪到该载荷的多种变体,其历史可追溯至2014年。Python信息窃取者(2018年2月至2020年1月),专注于从Telegram,Chrome,Firefox和Edge窃取数据;和HookInjEx变体(2014年12月至2020年5月),这是一个针对浏览器,设备音频,键盘记录和剪贴板数据的信息窃取者。


Android后门

在调查过程中,研究人员还发现了与相同威胁参与者有关联的恶意Android应用程序。该应用程序据称是一项服务,旨在帮助瑞典的波斯语使用者获得驾驶执照。


相反,一旦受害者下载了该应用程序,后门就会窃取其SMS消息并通过将所有包含2FA代码的SMS消息转发到攻击者控制的电话号码来绕过2FA。


研究人员说:“此恶意应用程序的独特功能之一是将任何以前缀G-(Google两因素身份验证码的前缀)开头的SMS转发到它从C2服务器接收的电话号码。” “此外,来自Telegram和其他社交网络应用程序的所有传入SMS消息也将自动发送到攻击者的电话号码。”


值得注意的是,该应用程序还针对目标受害者的Google帐户(Gmail)凭据发起了网络钓鱼攻击。在Android的WebView中向用户显示一个合法的Google登录页面。实际上,攻击者已经使用Android的JavascriptInterface窃取了键入的凭据,以及一个计时器,该计时器定期从用户名和密码输入字段中检索信息。

2.jpeg

它还会检索个人数据(例如联系人和帐户详细信息)并记录手机的周围环境。


研究人员说:“我们找到了同一应用程序的两个不同变体,一个似乎是为了测试目的而编译的,另一个是要在目标设备上部署的发行版。”


研究人员还警告说,威胁参与者拥有的网站仿冒网页仿冒了Telegram。一个Telegram机器人正在发送网络钓鱼消息,警告接收者他们不正确地使用Telegram的服务,并且如果他们不进入网络钓鱼链接,其帐户将被阻止。


研究人员说:“由于我们确定的大多数目标是伊朗人,看来与归因于伊斯兰共和国的其他袭击类似,这可能是伊朗威胁行动者正在收集有关该政权潜在对手的情报的又一案例。”


原文地址:https://threatpost.com/android-2fa-telegram-gmail/159384/

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录