México. 21 de septiembre del 2020.-La firma de seguridad Check Point descubrió que un grupo de hackers de Irán ha desarrollado un malware especial para Android capaz de interceptar y robar códigos de autenticación de dos factores (2FA) enviados a través de SMS.

El malware formaba parte de un arsenal de herramientas de piratería desarrolladas por un grupo de piratas informáticos al que la empresa ha apodado Rampant Kitten.

Check Point informó que el grupo ha estado activo durante al menos seis años y ha estado involucrado en una operación de vigilancia en curso contra las minorías iraníes, organizaciones antirégimen y movimientos de resistencia.

Los ataques
Los investigadores descubrieron por primera vez la campaña de Rampant Kitten a través de un documento, cuyo título se traduce como “El régimen teme la propagación de los cañones revolucionarios.docx”. No está claro cómo se difunde este documento, pero pretende describir la lucha en curso entre el régimen iraní y un movimiento antirégimen.

El documento cuando se abre carga una plantilla de documento desde un servidor remoto, que se hace pasar por un sitio web de una organización sin fines de lucro que ayuda a los disidentes iraníes.

Luego descarga un código de malicioso, que ejecuta un script por lotes para descargar y ejecutar una carga útil de la siguiente etapa. Esta carga útil luego verifica si Telegram está instalado en el sistema de las víctimas. Si es así, extrae tres ejecutables de sus recursos.

Estos ejecutables incluyen un ladrón de información, que toma los archivos de Telegram del dispositivo de la víctima, roba información de contraseñas, carga cualquier archivo que pueda encontrar que termine con un conjunto de extensiones predefinidas, registra los datos del portapapeles y toma capturas de pantalla del escritorio.

El código también tiene herramientas para capturar contactos, registros de mensajes de texto e incluso audio de micrófono, pero está inusualmente centrado en robar códigos de autenticación de dos factores.

¿Cómo protegerse de este malware?
Los investigadores han identificado una app con este malware: un programa diseñado para permitir que los hablantes de persa obtengan su licencia de conducir en Suecia.

Sin embargo, siguiendo la reputación de Rampant Kitten, el equipo cree que podría haber más apps infectadas con este malware, particularmente aquellas dirigidas a iraníes que se oponen al régimen de Teherán.

No obstante, podemos protegernos de este tipo de malware es necesario revisar siempre los permisos que damos al recibir mensaje de autenticación. Tenemos que estar pendientes de que se trate de fuentes y remitentes autenticados