安全公司Check Point表示，它發現了一個伊朗黑客組織開發的特殊Android惡意軟件，能夠攔截和竊取通過短信發送的雙因素驗證（2FA）代碼。該惡意軟件是該公司暱稱為Rampant Kitten的黑客組織開發的黑客工具庫的一部分。

偽裝的Telegram登錄界面

偽裝成歐盟駕照培訓輔助應用的App

Check Point表示，該組織至少活躍了6年，一直在從事針對伊朗少數族裔、反對組織和抵抗運動的持續監視行動。

這些活動涉及使用廣泛的惡意軟件系列，包括四種Windows信息竊取工具的變種和偽裝在惡意應用程序中的Android後門。

其開發的Windows惡意軟件主要用於竊取受害者的個人文件，但也竊取Telegram的Windows桌面客戶端的文件，這些文件允許黑客訪問受害者的Telegram賬戶。

此外，面向Windows分支的惡意軟件還竊取KeePass密碼管理器中的文件，與本週早些時候發布的CISA和FBI關於伊朗黑客及其惡意軟件的聯合警報中的功能描述一致。

但雖然Rampant Kitten黑客偏愛開發Windows木馬，但他們也為Android開發了類似的工具。

在今天發布的一份報告中，Check Point研究人員表示，他們還發現了該組織開發的一個強大的Android後門。該後門可以竊取受害者的通訊錄列表和短信，通過麥克風悄悄記錄受害者，並顯示釣魚頁面。但更值得關注的是，該後門還包含專門針對竊取2FA（雙因素認證）的代碼。

Check Point表示，該惡意軟件會攔截並轉發給攻擊者任何包含”G-“字符串的短信，該字符串通常被用於通過短信向用戶發送谷歌賬戶的2FA代碼前綴。

其思路是，Rampant Kitten運營商會利用Android木馬顯示谷歌釣魚頁面，獲取用戶的賬戶憑證，然後訪問受害者的賬戶。

如果受害者啟用了2FA，惡意軟件的2FA短信攔截功能就會悄悄地將2FA短信代碼的副本發送給攻擊者，讓他們繞過2FA。

但事實並非如此。Check Point還發現有證據表明，該惡意軟件還會自動轉發所有來自Telegram和其他社交網絡應用的接收短信。這些類型的消息也包含2FA代碼，該團伙很有可能利用這一功能繞過2FA，而不是谷歌賬戶。

目前，Check Point表示，它發現這個惡意軟件隱藏在一個Android應用內，偽裝成幫助瑞典講波斯語的人獲得駕照的服務。然而，該惡意軟件可能潛伏在其他針對反對德黑蘭、生活在伊朗境內外的伊朗人的應用內。

雖然人們普遍認為國家支持的黑客組織通常能夠繞過2FA，但我們很少能深入了解他們的工具和他們如何做到這一點。