黑客利用新版Furball Android恶意软件对伊朗公民进行间谍活动

被称为”Domestic Kitten “的伊朗威胁行为者被认为是一个新的间谍运动，它将伪装成一个翻译应用程序，以分发一个名为Furall的Android恶意软件的最新版本。

 ESET研究员卢卡斯·斯特凡科( Lukas Stefanko )在与《黑客新闻》( The Hacker News )分享的一份报告中说：”自2021年6月以来，它一直通过一个提供翻译文章、期刊和书籍的伊朗网站的模仿分发。

斯洛伐克网络安全公司补充说，这些更新虽然保留了与早期版本相同的监视功能，但旨在逃避安全解决方案的检测。

Domestic Kitten，也称为APT – C – 50，是一个伊朗威胁活动集群，以前被确定为针对感兴趣的个人，目的是从受损的移动设备中获取敏感信息。据了解，至少从2016年起就开始活跃。

Trend Micro在2019年进行的一项战术分析揭示了国内小猫与另一个名为”弹跳高尔夫”的组织的潜在联系，这是一个针对中东国家的网络间谍活动。

据检查点称，APT – C – 50主要挑出”可能对伊朗政权稳定构成威胁的伊朗公民，包括内部持不同政见者、反对派力量、伊斯兰国倡导者、伊朗的库尔德少数民族等”。

该组织开展的活动传统上依靠引诱潜在受害者通过不同的攻击载体安装流氓应用程序，包括伊朗的博客网站、电报频道和短信。

无论使用哪种方法，这些应用程序都充当了一个管道，将以色列网络安全公司的恶意软件代码命名为FurBall，这是KidLogger的定制版本，具有从设备中收集和提取个人数据的能力。

 ESET揭露的竞选活动的最新一次迭代涉及以翻译服务为幌子运营的应用程序。以前用于隐藏恶意行为的封面跨越了不同的类别，如安全、新闻、游戏和壁纸应用程序。

该应用程序( ‘ sarayemaghale.apk ‘)是通过一个假网站模仿downloadmaghaleh [ . ] com提供的，这是一个合法网站，提供从英语翻译成波斯语的文章和书籍。

最新版本值得注意的是，虽然保留了核心间谍软件功能，但工件只请求访问联系人的一个权限，限制了它访问SMS消息、设备位置、通话记录和剪贴板数据。

原因可能是它的目标是停留在雷达下；另一方面，我们也认为这可能预示着它仅仅是通过短信进行的钓鱼攻击的前一阶段，” Stefanko指出。

尽管存在这种障碍，但目前形式的FurBall恶意软件可以从远程服务器检索命令，使其能够从外部存储收集联系人、文件、已安装的应用程序列表、基本系统元数据和同步用户帐户。

尽管减少了活跃的应用程序功能，但样本进一步突出了实现一个基本的代码混淆方案，它被认为是试图克服过去的安全障碍。

斯特凡科说，”Domestic Kitten运动仍然活跃，利用山寨网站针对伊朗公民。”运营商的目标略有变化，从分发功能全面的Android间谍软件到一个较轻的变种。