- Výskumníci spoločnosti ESET nedávno odhalili nový Android malvér FurBall použitý v kampani Domestic Kitten.
- Kampaň Domestic Kitten pretrváva najmenej od roku 2016.
- Hlavným cieľom sú iránsky občania.
- ESET odhalil novú zakamuflovanú vzorku spyvéru Furball použitú v kampani.
- Škodlivý softvér sa šíri prostredníctvom falošnej stránky.
- Analyzovaná aplikácia má povolené iba obmedzené sledovacie funkcie, pravdepodobne aby sa vyhla odhaleniu.
Výskumníci spoločnosti ESET nedávno odhalili novú verziu Android malvéru Furball, použitú v kybernetickej kampani Domestic Kitten z dielne skupiny APT-C-50. Táto kampaň je známa pre vykonávanie mobilných sledovacích operácií zameraných na iránskych občanov. Nová verzia spyvéru FurBall cieli práve na tieto obete. Od júna 2021 je škodlivý softvér šírený v maskovaní za aplikáciu na prekladanie jazyka prostredníctvom falošnej iránskej stránky, ktorá sa tvári, že poskytuje preložené články, časopisy a knihy.
Nová verzia spyvéru Furball má tú istú sledovaciu funkciu ako predošlé varianty. Hlavným účelom vynovenia malvéru je preto pravdepodobne snaha vyhnúť sa detekcii bezpečnostným softvérom. V prípade riešenia od spoločnosti ESET však ide o neúspešnú snahu. ESET produkty aj naďalej zachytávajú túto hrozbu ako Android/Spy.Agent.BWS. Android malvér FurBall použitý od začiatku kampaní bol vytvorený po vzore komerčného nástroja na špehovanie KidLogger.
Analyzovaná vzorka vynoveného malvéru Furball si pýta iba jedno sledovacie povolenie, na prístup ku kontaktom. Dôvodom môže byť snaha zabrániť jeho odhaleniu. Na druhej strane však môže ísť o znak toho, že ide iba o úvodnú fázu kybernetickej operácie, ktorá predchádza spearphishingovému útoku cez SMS správy. Ak by útočníci rozšírili povolenia pre aplikáciu, škodlivý softvér by dokázal vynášať aj iné druhy dát zo skompromitovaných mobilov, ako napríklad SMS správy, polohu zariadenia či nahrávky hovorov.
„Táto škodlivá Android aplikácia je šírená cez falošnú stránku, ktorá imituje legitímny web s článkami a knihami preloženými z anglického do perzského jazyka (downloadmaghaleh.com). Na základe kontaktných informácií z legitímnej stránky ide o iránsku službu. Domnievame sa preto s vysokou mierou istoty, že falošná stránka cieli na iránskych občanov,“ vysvetľuje Lukáš Štefanko, výskumník spoločnosti ESET, ktorý objavil malvér.
„Falošná stránka ponúka na stiahnutie škodlivú Android aplikáciu po kliknutí na tlačidlo, kde je v perzskom jazyku napísané Stiahnuť aplikáciu. Tlačidlo obsahuje logo Google Play, no na tomto obchode sa v skutočnosti aplikácia nenachádza. Obete si škodlivú aplikáciu stiahnu priamo zo servera útočníkov,“ uzatvára Štefanko.
Viac technických informácií o malvéri Furball a kampani Domestic Kitten si môžete prečítať v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie zistenia výskumníkov spoločnosti ESET nájdete na Twitteri ESET research.