检查点：活跃6年多的伊朗黑客组织猖獗小猫开发出一款可窃取2FA短信代码的Android恶意软件

安全公司Check Point表示，他们发现了一个伊朗黑客组织，该组织开发了特殊的Android恶意软件，能够拦截和窃取通过短信发送的双因素身份验证(2FA)代码。

这个恶意软件是一个黑客组织开发的黑客工具库的一部分，这个黑客组织的绰号是“猖獗的小猫”。

Check Point说，该组织至少活跃了六年，一直在对伊朗少数民族、反政权组织和抵抗运动进行持续的监视行动，例如：

这些活动涉及到广泛的恶意软件家族的使用，包括Windows信息窃取程序的四个变种，以及伪装在恶意应用程序中的Android后门。

Windows恶意软件菌株主要用于窃取受害者的个人文档，但也窃取Telegram的Windows桌面客户端的文件，这些文件将允许黑客访问受害者的Telegram账户。

此外，Windows恶意软件毒株还从KeePass密码管理器窃取了文件，这与本周早些时候CISA和FBI发布的关于伊朗黑客及其恶意软件的联合警报中描述的功能一致。

但是，尽管猖獗的Kitten黑客偏爱Windows特洛伊木马，他们也为Android开发了类似的工具。

在今天发布的一份重要报告中，Check Point的研究人员表示，他们还发现了该组织开发的一个强大的Android后门。后门可以窃取受害者的联系人列表和短信，通过麦克风悄悄地记录受害者，并显示钓鱼页面。

Check Point表示，恶意软件将拦截任何包含字符串的短信，并将其转发给攻击者。该字符串通常用于为通过短信发送给用户的谷歌账户添加2FA代码前缀。

他们的想法是，猖獗的Kitten操作员会使用Android特洛伊木马程序显示谷歌钓鱼页面，捕获用户的帐户凭据，然后访问受害者的帐户。

如果受害者启用了2FA，恶意软件的2FA短信拦截功能会自动将2FA短信代码的副本发送给攻击者，让他们绕过2FA。

但事实并非如此。Check Point还发现了恶意软件还会自动转发来自Telegram和其他社交网络应用程序的所有传入短信的证据。这些类型的消息还包含2FA代码，很有可能该组织使用此功能绕过了超过2FA的Google账户。

目前，Check Point表示，他们在一款Android应用程序中发现了这种隐藏在一款Android应用程序中的恶意软件，该软件伪装成一项服务，帮助在瑞典说波斯语的人获得驾照。然而，恶意软件可能潜伏在其他针对伊朗人的应用程序中，这些应用程序针对的是居住在伊朗境内外的反对德黑兰政权的伊朗人。

虽然人们普遍认为国家支持的黑客组织通常能够绕过2FA，但我们很少深入了解他们的工具以及他们是如何做到这一点的。

猖獗的Kitten现在加入了APT20的行列，APT20是一个中国国家支持的黑客组织，去年也被认为绕过了基于硬件的2FA解决方案。