I ricercatori di Check Point Research hanno scoperto un nuovo gruppo di minacce soprannominato Rampant Kitten che prende di mira le credenziali e i file di applicazioni di messaggistica di Telegram, i dati dei dispositivi personali delle vittime e le credenziali del browser. Parte della campagna è un nuovo ceppo di malware Android che raccoglie tutti i codici di sicurezza dell’autenticazione a due fattori (2FA) inviati ai dispositivi, sniffa le credenziali di Telegram e lancia attacchi di phishing dell’account Google.
Il gruppo di minacce, secondo i ricercatori, ha preso di mira entità iraniane con campagne di sorveglianza per almeno sei anni.
I tools utilizzati per eseguire i propri attacchi sono vasti e comprendono: quattro varianti di info-stealer di Windows utilizzati per rubare i dati sugli account di Telegram e KeePass; pagine di phishing che impersonano Telegram per rubare le password; e la backdoor Android che estrae i codici 2FA dai messaggi SMS e registra la voce circostante del telefono.
Durante l’analisi, i ricercatori hanno anche scoperto un’applicazione Android dannosa che appariva come un servizio relativo all’ottenimento della patente di guida, quando invece, una volta scaricata l’applicazione, la backdoor ruba i messaggi SMS delle vittime e aggira la 2FA inoltrando tutti i messaggi SMS contenenti codici 2FA a un numero di telefono controllato dall’attaccante. Sempre la stessa applicazione lancia anche un attacco di phishing che prende di mira le credenziali dell’account Google (Gmail) delle vittime.
La pagina di accesso Google presentata all’utente all’interno della WebView di Android appare legittima. In realtà, gli attaccanti hanno utilizzato l’interfaccia Javascript di Android per rubare le credenziali digitate, nonché un timer che recupera periodicamente le informazioni dai campi di immissione di nome utente e password, nonché anche dati personali (come contatti e dettagli dell’account) e registra l’ambiente circostante il telefono.
Check Point ha anche avvisato dei siti Web di proprietà degli autori delle minacce che erano pagine di phishing che impersonavano Telegram. Un bot di Telegram inviava messaggi di phishing che avvisava gli utenti destinatari di un uso improprio dei servizi di Telegram e che il loro account sarebbe stato bloccato se non inserivano il collegamento di phishing.