Исследователи ESET недавно обнаружили новую версию вредоносной программы FurBall для Android, которая используется в кампании Domestic Kitten, проводимой группой APT-C-50. Кампания Domestic Kitten известна тем, что проводит операции по мобильной слежке за иранскими гражданами, и новая версия FurBall ничем не отличается от других.
FurBall Android Malware
С июня 2021 года она распространялась как приложение-переводчик через подделку иранского сайта, предоставляющего переведенные статьи, журналы и книги. Вредоносное приложение было загружено на VirusTotal, где оно сработало по одному из наших правил YARA (используемых для классификации и идентификации образцов вредоносного ПО), что дало нам возможность проанализировать его.
Эта версия FurBall имеет те же функции слежки, что и предыдущие версии; однако субъекты угрозы слегка обфусцировали имена классов и методов, строки, журналы и URI сервера. Это обновление потребовало небольших изменений и на C&C-сервере - а именно, имен серверных PHP-скриптов. Поскольку функциональность этого варианта не изменилась, основная цель этого обновления, по-видимому, заключается в том, чтобы избежать обнаружения программными средствами безопасности. Однако эти изменения никак не повлияли на программное обеспечение ESET; продукты ESET обнаруживают эту угрозу как Android/Spy.Agent.BWS.
Проанализированный образец запрашивает только одно навязчивое разрешение - доступ к контактам. Причина может заключаться в стремлении остаться незамеченным; с другой стороны, мы также считаем, что это может свидетельствовать о том, что это только предыдущая фаза атаки, проводимой через текстовые сообщения. Если агент угрозы расширит полномочия приложения, он также сможет перехватывать другие типы данных с пострадавших телефонов, такие как SMS-сообщения, местоположение устройства, записанные телефонные звонки и многое другое.
Группа APT-C-50 в рамках своей кампании Domestic Kitten с 2016 года проводила операции по мобильной слежке за гражданами Ирана, о чем в 2018 году сообщила компания Check Point. В 2019 году компания Trend Micro выявила вредоносную кампанию, возможно, связанную с Domestic Kitten, направленную на Ближний Восток, назвав ее Bouncing Golf. Вскоре после этого, в том же году, компания Qianxin сообщила о кампании Domestic Kitten, снова направленной на Иран. В 2020 году компания 360 Core Security раскрыла информацию о деятельности Domestic Kitten по наблюдению за антиправительственными группами на Ближнем Востоке. Последний известный публично доступный отчет от Check Point датируется 2021 годом.
FurBall - вредоносная программа для Android, используемая в этой операции с момента начала этих кампаний, - создана на основе коммерческого инструмента преследования KidLogger. Похоже, что разработчики FurBall вдохновлялись версией с открытым исходным кодом семилетней давности, которая доступна на Github, как указывает Check Point.
Indicators of Compromise
SHA256
- bf482e86d512da46126f0e61733bca4352620176