ESET: новая версия шпионского ПО FurBall для Android используется в слежке за гражданами Ирана

Пт 21 Октябрь 2022 05:05

Исследователи ESET обнаружили новую версию шпионского ПО FurBall для Android, которая атакует граждан Ирана в ходе шпионской кампаний, проводимой группировкой Domestic Kitten (APT-C-50) . По словам экспертов, шпионская кампания ведется как минимум с 2016 года.

Новая FurBall имеет много общего с более ранними версиями, но теперь поставляется с функцией обфускации кода и обновлениями сервера управления и контроля (C&C). По словам специалистов ESET, такая продолжительность компании указывает на то, что что операторы связаны с иранским правительством.

Новая версия FurBall распространяется через фишинговые веб-сайты, на которые жертвы попадают через сообщения в соцсетях, электронные письма, SMS-сообщения и отравление SEO. В одном из обнаруженных случаев FurBall размещается на поддельном веб-сайте, имитирующем популярный в Иране сервис перевода с английского на персидский.

Фишинговый сайт (слева) и настоящий сайт (справа)

На фишинговом сайте есть кнопка Google Play, которая предположительно позволяет пользователю загрузить версию переводчика для Android, но вместо перехода в магазин приложений, жертве отправляется APK-файл.

В зависимости от того, какие разрешения определены, шпионское ПО может украсть следующую информацию:

Однако, обнаруженный образец имеет ограниченную функциональность, запрашивая только доступ к контактам и хранилищу.

Разрешения, запрашиваемые при установке

Также FurBall может получать команды для выполнения с C&C-сервера, который связывается с помощью HTTP-запроса каждые 10 секунд. Новый уровень обфускации кода включает в себя имена классов, строки, журналы и URI пути сервера, и позволяет избежать обнаружения антивирусными инструментами. Однако, на данный момент VirusTotal обнаруживает APK-файл на 27-ми (из 66) антивирусных ядрах.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 259 дней 23 часа 35 минут 47 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.