Μια νέα έκδοση του Android spyware FurBall εντοπίστηκε να στοχεύει Ιρανούς πολίτες σε εκστρατείες παρακολούθησης κινητών που διεξάγονται από την ομάδα hacking Domestic Kitten, γνωστή και ως APT-C-50.

Δείτε επίσης: Βραζιλία: Η αστυνομία συνέλαβε πιθανό μέλος της ομάδας Lapsus$

Το Android spyware αναπτύσσεται σε μια επιχείρηση μαζικής παρακολούθησης που βρίσκεται σε εξέλιξη τουλάχιστον από το 2016. Επιπλέον, πολλές εταιρείες κυβερνοασφάλειας έχουν αναφερθεί αναλυτικά στην ομάδα Domestic Kitten, η οποία πιστεύουν ότι είναι μια ομάδα hacking που χρηματοδοτείται από το Ιράν.

Η πιο πρόσφατη έκδοση malware FurBall δειγματίστηκε και αναλύθηκε από ερευνητές της ESET, οι οποίοι αναφέρουν ότι έχει πολλές ομοιότητες με προηγούμενες εκδόσεις, αλλά τώρα συνοδεύεται από obfuscation και C2 updates.

Επίσης, αυτή η ανακάλυψη επιβεβαιώνει ότι η ομάδα “Domestic Kitten” πραγματοποιεί επιθέσεις εδώ και έξι χρόνια, γεγονός που υποστηρίζει περαιτέρω την υπόθεση ότι οι χειριστές είναι συνδεδεμένοι με το ιρανικό καθεστώς, απολαμβάνοντας ασυλία από την επιβολή του νόμου.

Δείτε επίσης: Microsoft παραβίαση δεδομένων: Εκτέθηκαν πληροφορίες πελατών

Νέα στοιχεία FurBall

Η νέα έκδοση του FurBall διανέμεται μέσω ψεύτικων ιστοσελίδων που είναι οπτικά κλώνοι πραγματικών, όπου τα θύματα καταλήγουν μετά από direct messages, αναρτήσεις στα social media, email, SMS, black SEO (πρακτική ενάντια στις κατευθυντήριες γραμμές των μηχανών αναζήτησης, που χρησιμοποιείται για να πάρει ένα site υψηλότερη κατάταξη στα αποτελέσματα αναζήτησης) και SEO poisoning.

Σε μια περίπτωση που εντοπίστηκε από την ESET, το malware φιλοξενείται σε έναν ψεύτικο ιστότοπο που μιμείται μια υπηρεσία μετάφρασης από Αγγλικά προς Περσικά δημοφιλή στη χώρα.

Στην ψεύτικη έκδοση, υπάρχει ένα κουμπί Google Play που υποτίθεται ότι επιτρέπει στους χρήστες να κατεβάσουν μια έκδοση Android του μεταφραστή

, αλλά αντί να προσγειωθούν στο κατάστημα εφαρμογών, τους αποστέλλεται ένα αρχείο APK με το όνομα «sarayemaghale.apk.».

Ανάλογα με τα δικαιώματα που ορίζονται στο αρχείο AndroidManifest.xml της εφαρμογής Android, το  spyware μπορεί να υποκλέψει τις ακόλουθες πληροφορίες:

  • Περιεχόμενα προχείρου
  • Τοποθεσία συσκευής
  • Μηνύματα SMS
  • Λίστα επαφών
  • Μητρώα κλήσεων
  • Καταγραφή κλήσεων
  • Περιεχόμενο των ειδοποιήσεων
  • Εγκατεστημένες και εκτελούμενες εφαρμογές
  • Πληροφορίες συσκευής

Ωστόσο, η ESET λέει ότι το δείγμα που ανέλυσε έχει περιορισμένη λειτουργικότητα, ζητώντας μόνο πρόσβαση σε επαφές και μέσα αποθήκευσης.

Αυτές οι άδειες εξακολουθούν να είναι ισχυρές σε περίπτωση κατάχρησης, και ταυτόχρονα, δεν θα εγείρουν υποψίες στους στόχους, γι’ αυτό πιθανότατα η ομάδα hacking περιόρισε τις δυνατότητες του FurBall.

Δείτε επίσης: Νέο backdoor PowerShell μεταμφιέζεται σε Windows Update

Εάν χρειάζεται, το malware μπορεί να λάβει εντολές για εκτέλεση απευθείας από τον command and control (C2) server, με τον οποίο επικοινωνεί μέσω αιτήματος HTTP κάθε 10 δευτερόλεπτα.

Όσον αφορά το νέο επίπεδο obfuscation, η ESET λέει ότι περιλαμβάνει class names, strings, logs και paths server URI, προσπαθώντας να αποφύγει τον εντοπισμό από εργαλεία anti-virus.

Οι προηγούμενες εκδόσεις του Furball δεν παρουσίαζαν καθόλου obfuscation. Ως εκ τούτου, το VirusTotal ανιχνεύει το κακόβουλο λογισμικό σε τέσσερις μηχανές AV, ενώ προηγουμένως επισημαινόταν από 28 προϊόντα.

Πηγή πληροφοριών: bleepingcomputer.com