Phát hiện mã độc đánh cắp mã xác thực hai yếu tố trên Android

Check Point cho biết nhóm này đã hoạt động ít nhất 6 năm và đã tham gia vào một hoạt động giám sát liên tục nhắm tới một bộ phận thiểu số người Iran, các tổ chức chống chính quyền, các phong trào phản kháng như Hiệp hội những người lưu vong tại trại tị nạn Ashraf và cư dân tự do (AFALR), Tổ chức Kháng chiến Quốc gia Azerbaijan và các công dân của Balochistan.

Nhóm tin tặc này có tên là Rampant Kitten. Theo Check Point, chiến dịch của Rampant Kitten sử dụng nhiều loại phần mềm độc hại, bao gồm 4 biến thể giả mạo Windows, một backdoor (cửa hậu) trên Android ngụy trang bên trong các ứng dụng tưởng chừng vô hại.

Nhằm mục tiêu vào KeePass và Telegram

Các chủng phần mềm độc hại trên Windows chủ yếu được sử dụng để đánh cắp tài liệu cá nhân của nạn nhân bao gồm cả các tập tin từ ứng dụng Telegram trên Windows, sau đó truy cập vào tài khoản Telegram của nạn nhân. 

Ngoài ra, các chủng phần mềm độc hại trên Windows còn có khả năng đánh cắp tập tin từ trình quản lý mật khẩu KeePass. Điều này phù hợp với các mô tả trong một cảnh báo chung của Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra liên bang Mỹ (FBI) về tin tặc Iran và phần mềm độc hại của chúng được công bố mới đây.

Theo Check Point, chuỗi lây nhiễm bắt đầu từ một tài liệu Microsoft Word có chứa phần mềm độc hại được đặt tên là "The Regime Fears the Spread of the Revolutionary Cannons.docx" (Chính quyền lo sợ sự lây lan của cuộc cách mạng Cannons.docx). Khi tập tin word này được mở, nó sẽ thực thi một payload ở giai đoạn tiếp để kiểm tra xem liệu có sự hiện diện của ứng dụng Telegram trên hệ thống Windows hay không. Nếu có, nó sẽ thả thêm ba tập thực thi độc hại khác để tải xuống các mô-đun phụ trợ (auxiliary module) và trích xuất các các tập tin liên quan đến Telegram Desktop và KeePass từ máy tính của nạn nhân. 

Việc trích xuất các tập tin trên sẽ cho phép kẻ tấn công giành quyền kiểm soát tài khoản Telegram của nạn nhân, từ đó đánh cắp tin nhắn, cũng như cóp nhặt tất cả các tập tin với phần mở rộng cụ thể và chuyển tới một máy chủ mà chúng kiểm soát.

Từ lâu, nhiều nước trên thế giới đã tạo những ứng dụng có vẻ vô hại để theo dõi hoạt động của công dân, hoặc mở rộng theo dõi công dân của những nước khác vì mục đích chính trị. Theo Check Point, nhóm tin tặc trên đã nhắm vào những tổ chức, cá nhân có hành vi phản động, đối đầu chính trị với Iran.

Đánh cắp mã xác thực hai yếu tố từ tin nhắn SMS của Google

Ngoài việc phát triển trojan Windows, nhóm tin tặc Rampant Kitten cũng phát triển các công cụ tương tự trên Android. Cửa hậu (backdoor) trên Android có khả năng đánh cắp mã xác thực hai yếu tố (2FA) từ các tin nhắn SMS, không nhắm vào một dịch vụ cố định nào mà triển khai trên cả Google, Telegram và một số dịch vụ truyền thông xã hội lớn khác.

Các nhà nghiên cứu của Check Point cho biết cửa hậu trên Android có thể đánh cắp thông tin danh bạ và tin nhắn SMS của nạn nhân, âm thầm ghi âm nạn nhân qua micrô và hiển thị các trang lừa đảo, nhưng chủ yếu tập trung vào dữ liệu xác thực hai yếu tố. Các nhà nghiên cứu của Check Point đã tìm thấy những loại phần mềm độc hại này trong một ứng dụng ngụy trang dịch vụ giúp người Ba Tư ở Thụy Điển lấy bằng lái xe.

Đặc biệt, phần mềm độc hại còn được thiết kế để chặn và chuyển tiếp tất cả các tin nhắn SMS bắt đầu bằng tiền tố 'G-' (thường được sử dụng cho việc xác thực hai yếu tố qua SMS của Google) đến kẻ tấn công.

Cụ thể, nhóm tin tặc sử dụng một Trojan Android để hiển thị một trang web lừa đảo nhằm thu thập thông tin đăng nhập, sau đó thử những thông tin đó trên trang web chính thống. Trong trường hợp nạn nhân bật xác thực hai yếu tố, phần mềm độc hại này sẽ chặn các tin nhắn SMS đến và âm thầm gửi bản sao cho những kẻ tấn công. Từ đó cho phép kẻ tấn công đánh cắp thông tin xác thực của nạn nhân, bằng cách đăng nhập vào tài khoản hợp pháp Google và vượt qua xác thực 2FA.

Check Point cho biết họ đã phát hiện ra nhiều biến thể khác nhau của phần mềm độc hại từ năm 2014. Một số phiên bản của nó được sử dụng đồng thời nhưng giữa chúng có sự khác biệt đáng kể về cấu tạo cũng như chức năng.

"Chúng tôi nhận thấy rằng mặc dù một số biến thể được sử dụng đồng thời, nhưng chúng được viết bằng các ngôn ngữ lập trình khác nhau, sử dụng đa dạng các giao thức truyền thông tin và không phải lúc nào cũng đánh cắp cùng một loại thông tin," công ty an ninh mạng khẳng định.

Nhưng đó không phải là tất cả. Check Point cũng tìm thấy bằng chứng cho thấy phần mềm độc hại còn sẽ tự động chuyển tiếp tất cả các tin nhắn SMS đến từ Telegram và các ứng dụng mạng xã hội khác. Các loại tin nhắn này cũng chứa mã 2FA và rất có thể nhóm đã sử dụng chức năng này để vượt qua xác thực 2FA trên nhiều tài khoản Google.

Thực tế, việc các nhóm tin tặc được chính phủ hậu thuẫn có thể vượt qua xác thực hai yếu tố không phải điều quá mới, nhưng hiếm khi các chuyên gia được xem tường tận hệ thống đó hoạt động như thế nào. 

Trong thời gian gần đây, nhiều nhà phát triển ứng dụng từ các dịch vụ trực tuyến đến các trò chơi đều cung cấp hệ thống xác thực hai yếu tố với tuyên bố phương thức xác thực này có thể đảm bảo an toàn cho các tài khoản, các thiết bị thông minh của người dùng. Mặc dù xác thực hai yếu tố không có nghĩa là tài khoản của bạn miễn nhiễm với các cuộc tấn công. Nó chỉ làm cho tài khoản của bạn trở nên an toàn hơn do tin tặc phải crack nhiều hơn một mật khẩu đơn giản. Một số nghiên cứu gần đây đã cho thấy đây không còn là một biện pháp an toàn nữa, nhất là với những nhóm tin tặc được chính phủ hậu thuẫn. 

Để bảo vệ tài khoản của chính mình, người dùng nên kiểm tra kỹ quy trình xác minh kép nhằm cá nhân hóa và độc lập hơn giữa hai phương thức, đồng thời có thể sử dụng thêm các phương pháp bảo vệ khác như khóa bảo mật phần cứng.