dirigido a ciudadanos iraníes, Furball, oculto en la aplicación de traducción
Los investigadores de ESET identificaron recientemente una nueva versión del malware FurBall de Android utilizado en una campaña de "Gatitos domésticos".
Este último data de al menos 2016 y todavía está activo.
Se dirige principalmente a ciudadanos iraníes.
Descubrimos una nueva muestra ofuscada de Furball para Android
Esta muestra se difunde desde un sitio falso.
La muestra analizada tiene una funcionalidad de espionaje restringida en un intento de evadir la detección.
Investigadores de ESET, el principal editor de soluciones de seguridad de Europa, identificaron recientemente una nueva versión del malware Android FurBall. Esta versión se usa en una campaña llamada Domestic Kitten. El grupo de piratas informáticos APT-C-50 opera acciones de vigilancia dirigidas a los teléfonos inteligentes de los ciudadanos iraníes. Desde junio de 2021, el malware se distribuye bajo la apariencia de una aplicación de traducción a través de una copia de un sitio web iraní que proporciona artículos, revistas y libros traducidos. La campaña Domestic Kitten se remonta al menos a 2016 y sigue activa.
Esta versión de FurBall tiene las mismas funciones de monitoreo que las versiones anteriores. Dado que la funcionalidad de esta variante no ha cambiado, el objetivo principal de esta actualización parece ser evadir el software de seguridad. Sin embargo, estos cambios no afectaron a las soluciones de ESET, que detectaron esta amenaza como Android/Spy.Agent.BWS. bola de pelo,. Este malware para Android, utilizado desde el inicio de estas campañas, fue creado a partir del stalkerware comercial KidLogger.
La muestra analizada requiere solo un permiso intrusivo; acceso a contactos. La razón podría ser su objetivo de evitar la detección, pero por otro lado, también creemos que podría ser la fase preliminar de un ataque de phishing dirigido realizado por SMS. Si el actor de la amenaza amplía los permisos de la aplicación, también podría filtrar otros tipos de datos de los teléfonos afectados, como mensajes de texto, geolocalización del dispositivo, llamadas telefónicas y más.
“Esta aplicación maliciosa de Android se distribuye a través de un sitio web falso que imita un sitio legítimo que ofrece artículos y libros traducidos del inglés al persa (downloadmaghaleh.com). Según los datos de contacto del sitio web legítimo, este servicio se ofrece desde Irán, lo que nos lleva a creer casi con certeza que el sitio web falso está dirigido a ciudadanos iraníes”, dice Lukáš Štefanko, investigador de ESET que descubrió el malware.
“El objetivo es ofrecer una aplicación de Android para descargar después de hacer clic en un botón que dice en persa “Descargar la aplicación”. El botón tiene el logotipo de Google Play, pero esta aplicación no está disponible en Google Play Store. Se descarga directamente del servidor del atacante”, añade Štefanko.
Comments