Công ty bảo mật Check Point vừa phát hiện một nhóm tin tặc Iran đang âm thầm phát triển một loại malware trên Android với khả năng chặn và đánh cắp mã xác thực hai yếu tố (2FA) thông qua SMS.
Nhóm tin tặc này thường được gọi là Rampant Kitten, đã hoạt động ít nhất 6 năm, chuyên thực hiện các chiến dịch giám sát những tổ chức chống chế độ, các phong trào kháng chiến bị chính quyền Iran ngăn cấm.
Theo Check Point, chiến dịch này sử dụng một loạt malware, gồm 4 biến thể giả mạo Windows, một backdoor (cửa hậu) trên Android ngụy trang bên trong các ứng dụng tưởng chừng vô hại. Các biến thể này tập trung vào đánh cắp mã xác thực hai yếu tố, không nhắm vào một dịch vụ cố định nào mà triển khai trên cả Google, Telegram và một số dịch vụ truyền thông xã hội lớn khác.
Các chủng mã độc Windows chủ yếu được dùng để lấy cắp tài liệu cá nhân của nạn nhân, gồm những tập tin từ ứng dụng Telegram trên Windows, sau đó truy cập vào tài khoản Telegram của nạn nhân. Ngoài ra, các chủng phần mềm độc hại trên Windows còn có khả năng đánh cắp tập tin từ trình quản lý mật khẩu KeePass.
Từ lâu, nhiều nước trên thế giới đã tạo những ứng dụng có “vẻ ngoài” vô hại để theo dõi hoạt động của công dân, hoặc mở rộng theo dõi công dân của những nước khác vì mục đích chính trị. Theo Check Point, nhóm tin tặc trên đã nhắm vào những tổ chức, cá nhân có hành vi phản động, đối đầu chính trị với Iran.
Tin tặc sử dụng một loại Trojan lừa đảo để thu thập thông tin đăng nhập, sau đó thử những thông tin đó trên trang web chính thống. Trong trường hợp nạn nhân bật xác thực hai yếu tố, phần mềm độc hại này sẽ chặn các tin nhắn SMS đến và âm thầm gửi bản sao cho những kẻ tấn công. Check Point đã tìm thấy bằng chứng cho thấy phần mềm độc hại tự động chuyển tiếp tất cả tin nhắn SMS đến từ Telegram và các ứng dụng mạng xã hội khác cho tin tặc.
Ngoài ra, nhóm tin tặc này còn phát triển công cụ tương tự trên Android. Các chuyên gia đã tìm thấy backdoor trong ứng dụng có khả năng lấy cắp thông tin danh bạ, nhật ký tin nhắn văn bản và cả những tập tin âm thanh, nhưng chủ yếu tập trung vào dữ liệu xác minh hai yếu tố. Các nhà nghiên cứu của Check Point đã tìm thấy những loại mã độc này trong một ứng dụng ngụy trang dịch vụ giúp người Ba Tư ở Thụy Điển lấy bằng lái xe.
Ngoài ra, các chuyên gia cảnh báo chúng còn có thể tồn tại trong thiết bị của những người Iran phản đối chế độ Tehran, sống ở trong và ngoài lãnh thổ Iran nhưng chưa được phát hiện.
Thực ra việc các nhóm tin tặc được chính phủ hậu thuẫn có thể vượt qua tường xác thực hai yếu tố không phải điều quá mới lạ, nhưng hiếm khi các chuyên gia được xem tường tận hệ thống đó hoạt động như thế nào. Trước nay, các chuyên gia bảo mật luôn nhấn mạnh tầm quan trọng của việc sử dụng hệ thống xác thực hai để bảo vệ tài khoản.
Nhưng một số nghiên cứu gần đây cho thấy đây không còn là một biện pháp an toàn nữa, nhất là với những nhóm tin tặc được chính phủ hậu thuẫn. Thay vào đó người dùng có thể sử dụng những phương pháp bảo vệ khác như khóa bảo mật phần cứng.