richtet sich an iranische Bürger, Furball, versteckt in der Übersetzungs-App
ESET-Forscher haben kürzlich eine neue Version der Android-Malware FurBall identifiziert, die in einer „Domestic Kitten“-Kampagne verwendet wird.
Letzteres stammt mindestens aus dem Jahr 2016 und ist immer noch aktiv.
Es zielt hauptsächlich auf iranische Bürger ab.
Wir haben eine neue verschleierte Probe von Furball für Android entdeckt
Dieses Beispiel wird von einer gefälschten Website verbreitet
Die analysierte Probe verfügt über eine eingeschränkte Spionagefunktion, um der Erkennung zu entgehen.
Forscher von ESET, Europas führendem Herausgeber von Sicherheitslösungen, haben kürzlich eine neue Version der Android-Malware FurBall identifiziert. Diese Version wird in einer Kampagne namens Domestic Kitten verwendet. Die Hackergruppe APT-C-50 führt Überwachungsaktionen durch, die auf die Smartphones iranischer Bürger abzielen. Seit Juni 2021 wird die Malware unter dem Deckmantel einer Übersetzungsanwendung über eine Kopie einer iranischen Website verbreitet, die übersetzte Artikel, Zeitschriften und Bücher bereitstellt. Die Domestic Kitten-Kampagne geht mindestens auf das Jahr 2016 zurück und ist immer noch aktiv.
Diese Version von FurBall hat die gleichen Überwachungsfunktionen wie frühere Versionen. Da sich die Funktionalität dieser Variante nicht geändert hat, scheint der Hauptzweck dieses Updates darin zu bestehen, Sicherheitssoftware zu umgehen. Diese Änderungen hatten jedoch keine Auswirkungen auf ESET-Lösungen, die diese Bedrohung als Android/Spy.Agent.BWS erkannten. FurBall,. Diese Android-Malware, die seit Beginn dieser Kampagnen verwendet wird, wurde aus der kommerziellen Stalkerware KidLogger erstellt.
Die analysierte Probe erfordert nur eine aufdringliche Erlaubnis; Zugriff auf Kontakte. Der Grund könnte sein Ziel sein, eine Entdeckung zu vermeiden, aber andererseits glauben wir auch, dass es die Vorphase eines gezielten Phishing-Angriffs sein könnte, der per SMS durchgeführt wird. Wenn der Angreifer die Berechtigungen der App erweitert, ist es möglicherweise auch möglich, andere Arten von Daten von den betroffenen Telefonen zu exfiltrieren, z. B. Textnachrichten, Geräte-Geolokalisierung, Telefonanrufe und noch mehr.
„Diese bösartige Android-Anwendung wird über eine gefälschte Website verbreitet, die eine legitime Website imitiert, die Artikel und Bücher anbietet, die aus dem Englischen ins Persische übersetzt wurden (downloadmaghaleh.com). Laut den Kontaktdaten der legitimen Website wird dieser Dienst aus dem Iran angeboten, was uns mit ziemlicher Sicherheit glauben lässt, dass die gefälschte Website auf iranische Bürger abzielt“, sagt Lukáš Štefanko, Forscher bei ESET, der die Malware entdeckt hat.
„Das Ziel ist es, eine Android-Anwendung zum Herunterladen anzubieten, nachdem man auf eine Schaltfläche geklickt hat, auf der auf Persisch „Anwendung herunterladen“ steht. Die Schaltfläche hat das Google Play-Logo, aber diese App ist nicht im Google Play Store verfügbar. Es wird direkt vom Server des Angreifers heruntergeladen“, fügt Štefanko hinzu.
Σχόλια