По словам экспертов ESET, шпионаж проводит правительство Ирана.
Исследователи ESET обнаружили новую версию шпионского ПО FurBall для Android, которая атакует граждан Ирана в ходе шпионской кампаний, проводимой группировкой Domestic Kitten (APT-C-50) . По словам экспертов, шпионская кампания ведется как минимум с 2016 года.
Новая FurBall имеет много общего с более ранними версиями, но теперь поставляется с функцией обфускации кода и обновлениями сервера управления и контроля (C&C). По словам специалистов ESET, такая продолжительность компании указывает на то, что что операторы связаны с иранским правительством.
Новая версия FurBall распространяется через фишинговые веб-сайты, на которые жертвы попадают через сообщения в соцсетях, электронные письма, SMS-сообщения и отравление SEO. В одном из обнаруженных случаев FurBall размещается на поддельном веб-сайте, имитирующем популярный в Иране сервис перевода с английского на персидский.
.png)
Фишинговый сайт (слева) и настоящий сайт (справа)
На фишинговом сайте есть кнопка Google Play, которая предположительно позволяет пользователю загрузить версию переводчика для Android, но вместо перехода в магазин приложений, жертве отправляется APK-файл.
В зависимости от того, какие разрешения определены, шпионское ПО может украсть следующую информацию:
- Содержимое буфера обмена;
- Местоположение устройства;
- Установленные и запущенные приложения;
- Информация об устройстве.
Однако, обнаруженный образец имеет ограниченную функциональность, запрашивая только доступ к контактам и хранилищу.
.png)
Разрешения, запрашиваемые при установке
Также FurBall может получать команды для выполнения с C&C-сервера, который связывается с помощью HTTP-запроса каждые 10 секунд. Новый уровень обфускации кода включает в себя имена классов, строки, журналы и URI пути сервера, и позволяет избежать обнаружения антивирусными инструментами. Однако, на данный момент VirusTotal обнаруживает APK-файл на 27-ми (из 66) антивирусных ядрах.
02-20-2025, 05:56 PM
Hybrid Mode
