bienvenido a t-cert
Recientemente una nueva versión del malware para Android FurBall que se utiliza en una campaña de Domestic Kitten llevada adelante por el grupo de APT-C-50. Se sabe que la campaña Domestic Kitten busca monitorear a través de los dispositivos móviles la actividad que realizan ciudadanos iraníes y esta nueva versión de FurBall no es diferente en su objetivo final. Desde junio de 2021 este malware se distribuye como una app de traducción a través de un sitio web falso que imita un sitio legítimo iraní que ofrece artículos y libros traducidos. La aplicación maliciosa fue subida a VirusTotal y activó una de nuestras reglas YARA (utilizadas para clasificar e identificar muestras de malware), lo que nos dio la oportunidad de analizarla.
Esta versión de FurBall cuenta con las mismas funcionalidades para espiar que las versiones anteriores; sin embargo, los actores de amenazas ofuscaron ligeramente los nombres de las clases y métodos, las strings, los registros y los URI del servidor. Esta actualización también requirió pequeños cambios en el servidor C&C, precisamente, los nombres de los scripts PHP del lado del servidor. Dado que la capacidad del malware no ha cambiado en esta variante, el objetivo principal de esta actualización parece ser evitar la detección por parte soluciones de seguridad. Sin embargo, estas modificaciones no han tenido efecto en el software de ESET, ya que los productos de ESET detectan esta amenaza como Android/Spy.Agent.BWS.
La muestra analizada solicita solo un permiso intrusivo a la víctima al momento de ser instalada: acceder a los contactos. La razón podría ser su intención de permanecer bajo el radar; por otro lado, también creemos que podría indicar que es solo la fase anterior de un ataque de spearphishing realizado a través de mensajes de texto. Si el actor de amenazas amplía los permisos de la aplicación, también sería capaz de filtrar otro tipo de datos de los teléfonos afectados, como mensajes SMS, ubicación del dispositivo, llamadas telefónicas grabadas y mucho más.
Puntos clave de esta publicación:
El grupo APT-C-50, en su campaña apodada Domestic Kitten, lleva realizando operaciones de monitoreo y vigilancia a través de dispositivos móviles contra ciudadanos iraníes desde 2016, según informó Check Point en 2018. En 2019, Trend Micro identificó una campaña maliciosa, posiblemente relacionada con Domestic Kitten, apuntando al Medio Oriente, y denominó a la campaña Bouncing Golf. Poco después, en el mismo año, Qianxin informó sobre una campaña de Domestic Kitten nuevamente dirigida a Irán. En 2020, 360 Core Security reportó actividades de vigilancia de Domestic Kitten contra grupos antigubernamentales en el Medio Oriente. El último informe público disponible y conocido es de 2021 realizado por Check Point.
FurBall, el malware para Android utilizado en esta operación desde que comenzaron estas campañas, fue creado sobre la base de la herramienta de stalkerware KidLogger , la cual está disponible para la venta. Parece que los desarrolladores de FurBall se inspiraron en la versión de código abierto de hace siete años que está disponible en Github, tal como señaló Check Point.
Esta aplicación maliciosa para Android se distribuye a través de un sitio web falso que copia el diseño de un sitio legítimo que ofrece artículos y libros traducidos del inglés al persa (downloadmaghaleh.com). Según la información de contacto del sitio web legítimo, este servicio se brinda desde Irán, lo que nos lleva a creer con mucha confianza que el sitio web falso fue diseñado para atraer a ciudadanos iraníes. El propósito de los atacantes con este falso sitio es ofrecer una aplicación para Android que es posible descargar después de hacer clic en un botón que dice, en persa, “Descargar la aplicación”. El botón tiene el logotipo de Google Play, pero la aplicación no está disponible en la tienda oficial de Google para Android; sino que se descarga directamente desde el servidor del atacante. La aplicación fue cargada a VirusTotal y desde ahí se activó una de nuestras reglas YARA.
.jpg){kind=small}