ESET-onderzoekers, hebben een nieuwe versie Android-malware FurBall ontdekt die wordt gebruikt in een Domestic Kitten-campagne van de APT-C-50-groep. De Domestic Kitten-campagne staat bekend om het uitvoeren van mobiele surveillanceoperaties tegen Iraanse burgers, en deze nieuwe FurBall-versie is niet anders in zijn doelstelling en doelwitten. Sinds juni 2021 wordt de ontdekte versie, die vermomd is als een vertaal-app, verspreid via een kopie van een Iraanse website die vertaalde artikelen, tijdschriften en boeken aanbiedt. De Domestic Kitten-campagne loopt al vanaf ten minste 2016.
De ontdekte versie van FurBall heeft dezelfde surveillancefunctionaliteit als eerdere versies. Aangezien de functionaliteit van deze variant niet is veranderd, lijkt het voornaamste doel van deze update te zijn om detectie door beveiligingssoftware te vermijden. Deze wijzigingen hebben echter geen effect gehad op ESET-software; ESET-producten detecteren deze dreiging als Android/Spy.Agent.BWS. De Android-malware die sinds het begin van deze campagnes in deze operatie wordt gebruikt is gemaakt op basis van de commerciële stalkerwaretool KidLogger.
Het geanalyseerde sample vraagt slechts één indringende toestemming – om toegang te krijgen tot contacten. De reden zou kunnen zijn om onder de radar te blijven; aan de andere kant denken de onderzoekers ook dat het een signaal is dat het slechts de voorafgaande fase is van een spearphishing-aanval die via sms-berichten wordt uitgevoerd. Als de bedreigende actor de app-machtigingen uitbreidt, zou hij ook in staat zijn andere soorten gegevens van getroffen telefoons te exfiltreren, zoals sms-berichten, locatie, opgenomen telefoongesprekken en nog veel meer.
“Deze schadelijke Android-toepassing wordt geleverd via een valse website die een legitieme site nabootst die artikelen en boeken aanbiedt die van het Engels naar het Perzisch zijn vertaald (downloadmaghaleh.com). Op basis van de contactinformatie van de legitieme website leveren ze deze dienst vanuit Iran, waardoor we met grote zekerheid aannemen dat de copycat website zich richt op Iraanse burgers,” zegt ESET-onderzoeker Lukáš Štefanko, die de malware ontdekte.
“Het doel van de copycat is om een Android app ter download aan te bieden na het klikken op een knop die in het Perzisch zegt: ‘Download de applicatie’. De knop heeft het Google Play logo, maar deze app is niet beschikbaar in de Google Play store; hij wordt rechtstreeks van de server van de aanvaller gedownload,” voegt hij eraan toe.
Het is belangrijk om onderzoek te blijven doen naar de schaduwkanten van de digitale mogelijkheden om aan te blijven tonen dat dit soort zaken plaatsvinden en vervolgens het gesprek aan te gaan hoe we onze maatschappij hiertegen kunnen beschermen.”
Dave Maasland van ESET Nederland voegt hieraan toe: “Wederom wordt duidelijk dat de kracht van technologie en de mogelijkheden op gebied van cyber negatief in kunnen worden gezet in de maatschappij. De burgers van Iran krijgen niet alleen te maken met offline handhaving, maar ook op digitaal vlak worden zij in de gaten gehouden. Het is belangrijk om onderzoek te blijven doen naar de schaduwkanten van de digitale mogelijkheden om aan te blijven tonen dat dit soort zaken plaatsvinden en vervolgens het gesprek aan te gaan hoe we onze maatschappij hiertegen kunnen beschermen.”
Lees voor meer technische informatie over Furball en Domestic Kitten de blogpost “Domestic Kitten campaign spying on Iranian citizens with new Furball malware” op WeLiveSecurity. Volg ESET Research op Twitter voor het laatste nieuws van ESET Research.
