Perusahaan keamanan Check Point mengatakan mereka menemukan grup peretas asal Iran yang telah mengembangkan malware Android khusus berkemampuan mencegat dan mencuri kode 2FA (otentikasi dua langkah) yang dikirim melalui SMS.
Malware tersebut adalah bagian dari arsenal alat peretasan yang dikembangkan oleh grup peretas yang dijuluki Rampant Kitten oleh Check Point.
Check Point mengatakan grup tersebut telah aktif selama setidaknya enam tahun dan telah terlibat dalam operasi mata-mata yang sedang berlangsung terhadap minoritas Iran, organisasi anti-rezim, dan gerakan perlawanan seperti:
- Association of Families of Camp Ashraf and Liberty Residents (AFALR)
- Azerbaijan National Resistance Organization
- orang Balochistan
Operasi ini melibatkan penggunaan spektrum luas dari keluarga malware, termasuk empat varian infostealer Windows dan backdoor Android yang disamarkan di dalam aplikasi berbahaya.
Strain malware Windows utamanya digunakan untuk mencuri dokumen pribadi korban, juga file dari aplikasi desktop Telegram untuk Windows, file yang memungkinkan peretas mengakses akun Telegram korban.
Selain itu, strain malware Windows itu juga digunakan untuk mencuri file dari pengelola kata sandi KeePass, sesuai dengan deskripsi fungsionalitas dalam peringatan bersama CISA dan FBI tentang peretas Iran dan malware mereka, yang dikeluarkan awal pekan ini.
Sementara Rampant Kitten menspesialkan trojan Windows, mereka juga mengembangkan alat serupa untuk Android.
Dalam sebuah laporan yang diterbitkan, peneliti Check Point mengatakan mereka juga menemukan backdoor Android canggih yang dikembangkan oleh kelompok tersebut. Backdoor ini dapat mencuri daftar kontak korban dan pesan SMS, diam-diam merekam korban melalui mikrofon, dan menampilkan halaman phishing. Lalu backdoor ini juga berisi tugas rutin yang secara khusus difokuskan untuk mencuri kode 2FA.
Check Point mengatakan malware akan mencegat setiap pesan SMS yang berisi string “G-” dan meneruskannya ke penyerang, yang mana string tersebut biasanya digunakan untuk mengawali kode 2FA untuk akun Google yang dikirim ke pengguna melalui SMS.
Perkiraan bagaimana itu bekerja yaitu operator Rampant Kitten akan menggunakan trojan Android untuk menampilkan halaman phishing Google, menangkap rincian akun pengguna, dan kemudian mengakses akun korban.
Jika korban mengaktifkan 2FA, fungsi penyadapan SMS 2FA dari malware akan secara diam-diam mengirimkan salinan kode SMS 2FA ke penyerang, memungkinkan mereka untuk melewati 2FA.
Tapi bukan itu saja, Check Point menemukan bukti bahwa malware juga secara otomatis meneruskan semua pesan SMS masuk dari Telegram dan aplikasi jejaring sosial lainnya. Jenis pesan ini juga berisi kode 2FA, dan kemungkinan besar grup tersebut menggunakan fungsi ini untuk melewati 2FA tidak hanya untuk akun Google.
Baca Juga: “Kerentanan Dalam Apple Touch ID Memungkinkan Untuk Membajak Akun iCloud“
Untuk saat ini, Check Point mengatakan menemukan malware ini tersembunyi di dalam aplikasi Android yang menyamar sebagai layanan untuk membantu penutur bahasa. Namun, malware tersebut bisa saja bersembunyi di dalam aplikasi lain yang ditujukan untuk orang Iran yang menentang rezim Teheran, yang tinggal di dalam dan di luar Iran.
Meskipun sudah menjadi rahasia umum bahwa kelompok peretas yang disponsori negara biasanya mampu melewati 2FA, sangat jarang kita mendapatkan wawasan tentang alat mereka dan bagaimana mereka melakukannya.
Rampant Kitten sekarang termasuk dalam jajaran APT20, berjajar dengan grup peretas yang disponsori negara China, yang juga terlihat melewati solusi 2FA berbasis perangkat keras tahun lalu.
