Бесплатно Экспресс-аудит сайта:

22.10.2022

ESET: новая версия шпионского ПО FurBall для Android используется в слежке за гражданами Ирана

Исследователи ESET обнаружили новую версию шпионского ПО FurBall для Android, которая атакует граждан Ирана в ходе шпионской кампаний, проводимой группировкой Domestic Kitten (APT-C-50) . По словам экспертов, шпионская кампания ведется как минимум с 2016 года.

Новая FurBall имеет много общего с более ранними версиями, но теперь поставляется с функцией обфускации кода и обновлениями сервера управления и контроля (C&C). По словам специалистов ESET, такая продолжительность компании указывает на то, что что операторы связаны с иранским правительством.

Новая версия FurBall распространяется через фишинговые веб-сайты, на которые жертвы попадают через сообщения в соцсетях, электронные письма, SMS-сообщения и отравление SEO. В одном из обнаруженных случаев FurBall размещается на поддельном веб-сайте, имитирующем популярный в Иране сервис перевода с английского на персидский.

Фишинговый сайт (слева) и настоящий сайт (справа)

На фишинговом сайте есть кнопка Google Play, которая предположительно позволяет пользователю загрузить версию переводчика для Android, но вместо перехода в магазин приложений, жертве отправляется APK-файл.

В зависимости от того, какие разрешения определены, шпионское ПО может украсть следующую информацию:

  • Содержимое буфера обмена;
  • Местоположение устройства;
  • SMS-сообщения;
  • Список контактов;
  • Журналы вызовов;
  • Запись звонков;
  • Содержание уведомлений;
  • Установленные и запущенные приложения;
  • Информация об устройстве.

Однако, обнаруженный образец имеет ограниченную функциональность, запрашивая только доступ к контактам и хранилищу.


Разрешения, запрашиваемые при установке

Также FurBall может получать команды для выполнения с C&C-сервера, который связывается с помощью HTTP-запроса каждые 10 секунд. Новый уровень обфускации кода включает в себя имена классов, строки, журналы и URI пути сервера, и позволяет избежать обнаружения антивирусными инструментами. Однако, на данный момент VirusTotal обнаруживает APK-файл на 27-ми (из 66) антивирусных ядрах.