Perusahaan keamanan siber Check Point menemukan grup hacker Iran yang mengembangkan malware Android khusus, malware ini mampu mencuri kode otentikasi dua faktor (2FA) yang dikirim melalui SMS.
Malware itu adalah bagian dari alat peretasan yang dikembangkan oleh grup Rampant Kitten, sebuah julukan yang diberikan oleh perusahaan itu.
Kampanye ini melibatkan penggunaan spektrum luas keluarga malware, termasuk empat varian infostealer Windows dan pintu belakang Android yang disamarkan di dalam aplikasi berbahaya.
Strain malware Windows terutama digunakan untuk mencuri dokumen pribadi korban, tetapi juga file dari klien desktop Windows Telegram, yang memungkinkan peretas mengakses akun Telegram korban.
APLIKASI ANDROID DENGAN KEMAMPUAN MENCURI 2FA
Selain memakai trojan Windows, Rampant Kitten juga mengembangkan alat serupa untuk Android.
Dalam sebuah laporan yang diterbitkan hari ini, Check Point mengatakan mereka juga menemukan backdoor Android yang kuat yang dikembangkan oleh kelompok tersebut. Backdoor dapat mencuri daftar kontak korban, pesan SMS, merekam korban melalui mikrofon, dan menampilkan halaman phishing secara diam-diam.
Skenarionya adalah, operator Rampant Kitten akan menggunakan trojan Android untuk menampilkan halaman phishing Google, menangkap kredensial akun pengguna, dan kemudian mengakses akun korban.
Jika korban mengaktifkan 2FA, fungsi penyadapan SMS 2FA dari malware akan secara diam-diam mengirimkan salinan kode SMS 2FA ke penyerang, memungkinkan mereka untuk melewati keamanan 2FA.
Untuk saat ini, Check Point mengatakan hanya menemukan malware ini dalam aplikasi Android yang menyamar sebagai aplikasi penutur bahasa Persia di Swedia untuk mendapatkan SIM mereka. Namun, malware tersebut bisa saja bersembunyi di dalam aplikasi lain yang ditujukan untuk orang Iran yang menentang rezim Teheran, yang tinggal di dalam dan di luar Iran.
Source : ZDNet
