新型 Android 惡意軟件可繞過 2FA，竊取 Telegram、Gmail 數據 - 網安

一個新的Android惡意軟件變種已經被發現，這是Rampant Kitten威脅組織針對Telegram憑據等進行的廣泛監視活動的一部分。

研究人員發現威脅組織發起了針對受害者的個人設備數據，瀏覽器憑據和電報消息應用程序文件的監視運動。該小組武器庫中一個值得注意的工具是一個Android惡意軟件，該惡意軟件收集發送到設備的所有雙因素身份驗證（2FA）安全代碼，sniffs out Telegram憑據并發起Google帳戶網絡釣魚攻擊。

研究人員發現，這個名為“ Rampant Kitten ”的威脅組織以監視行動為目標，至少針對伊朗實體長達六年之久。它專門針對伊朗少數民族和反政權組織，包括Camp Ashraf和Liberty Residents（AFALR)和Azerbaijan National Resistance Organization。

威脅組織依賴各種各樣的工具來進行攻擊，包括用于竊取Telegram和KeePass帳戶信息的四種Windows信息竊取程序變體。假冒Telegram竊取密碼的釣魚頁面；以及前面提到的Android后門程序，該后門程序從SMS消息中提取2FA代碼并記錄電話的語音環境。

Check Point Research的研究人員在上周五的一次分析中說：“追蹤這次襲擊的蹤跡，揭示出一項大規模行動，基本上已經在雷達下保持了至少六年的時間。”“根據我們收集到的證據，似乎從伊朗行動的威脅行為者利用多種攻擊手段監視受害者，攻擊受害者的個人計算機和移動設備。”

襲擊事件

研究人員首先通過文件發現了Rampant Kitten的競選活動，該文件的標題翻譯為“The Regime Fears the Spread of the Revolutionary Cannons.docx”。目前尚不清楚該文件是如何傳播的（通過魚叉式網絡釣魚或其他方式），但它旨在描述伊朗政權與Mujahedin-e Khalq運動之間正在進行的斗爭。

打開后的文檔會從遠程服務器（afalr-SharePoint[.]com）加載文檔模板，該服務器會假冒一個非營利性網站，以幫助伊朗持不同政見者。

猖kitten的小貓網絡攻擊

攻擊媒介

然后，它下載惡意的宏代碼，該代碼執行批處理腳本以下載并執行下一階段的有效負載。然后，此有效負載會檢查受害者的系統上是否安裝了流行的Telegram Messenger服務。如果是這樣，它將從其資源中提取三個可執行文件。

這些可執行文件包括一個信息竊取程序，該竊取程序從受害人的計算機中提取電報文件，從KeePass密碼管理應用程序竊取信息，上傳可以找到的，以一組預定義擴展名結尾的任何文件，并記錄剪貼板數據并獲取桌面屏幕截屏。

研究人員能夠追蹤到該載荷的多個變體，其歷史可追溯至2014年。Python信息竊取者（2018年2月至2020年1月），專注于從Telegram，Chrome，Firefox和Edge竊取數據；和HookInjEx變體（2014年12月至2020年5月），這是一個針對瀏覽器，設備音頻，鍵盤記錄和剪貼板數據的信息竊取者。

Android后門

在調查過程中，研究人員還發現了與相同威脅參與者有關聯的惡意Android應用程序。該應用程序據稱是一項服務，旨在幫助瑞典的波斯語使用者獲得駕駛執照。

相反，一旦受害者下載了該應用程序，后門就會竊取其SMS消息并通過將所有包含2FA代碼的SMS消息轉發到攻擊者控制的電話號碼來繞過2FA。

研究人員說：“此惡意應用程序的獨特功能之一是將任何以前綴G-（Google兩因素身份驗證碼的前綴）開頭的SMS轉發到它從C2服務器接收的電話號碼。” “此外，來自Telegram和其他社交網絡應用程序的所有傳入SMS消息也將自動發送到攻擊者的電話號碼。”

值得注意的是，該應用程序還針對目標受害者的Google帳戶（Gmail）憑據發起了網絡釣魚攻擊。在Android的WebView中向用戶顯示一個合法的Google登錄頁面。實際上，攻擊者已經使用Android的JavascriptInterface竊取了輸入的憑據，以及一個計時器，該計時器定期從用戶名和密碼輸入字段中檢索信息。

猖Kit的小貓網絡攻擊

電報網絡釣魚頁面

它還會檢索個人數據（例如聯系人和帳戶詳細信息）并記錄手機的周圍環境。

研究人員說：“我們找到了同一應用程序的兩個不同變體，一個似乎是為了測試目的而編譯的，另一個是要在目標設備上部署的發行版。”

研究人員還警告說，威脅者擁有的網站仿冒Telegram的釣魚頁面。一個Telegram機器人正在發送網絡釣魚消息，警告接收者他們不正確地使用Telegram的服務，并且如果他們不進入網絡釣魚鏈接，其帳戶將被阻止。

研究人員說：“由于我們確定的大多數目標是伊朗人，看來與歸因于伊斯蘭共和國的其他襲擊類似，這可能是伊朗威脅行動者正在收集有關該政權潛在對手的情報的又一案例。”