ESET-onderzoekers, hebben een nieuwe versie Android-malware FurBall ontdekt die wordt gebruikt in een Domestic Kitten-campagne van de APT-C-50-groep. De Domestic Kitten-campagne staat bekend om het uitvoeren van mobiele surveillanceoperaties tegen Iraanse burgers, en deze nieuwe FurBall-versie is niet anders in zijn doelstelling en doelwitten.
Sinds juni 2021 wordt de ontdekte versie, die vermomd is als een vertaal-app, verspreid via een kopie van een Iraanse website die vertaalde artikelen, tijdschriften en boeken aanbiedt. De Domestic Kitten-campagne loopt al vanaf ten minste 2016.
Stalkerwaretool
De ontdekte versie van FurBall heeft dezelfde surveillancefunctionaliteit als eerdere versies. Aangezien de functionaliteit van deze variant niet is veranderd, lijkt het voornaamste doel van deze update te zijn om detectie door beveiligingssoftware te vermijden. Deze wijzigingen hebben echter geen effect gehad op ESET-software; ESET-producten detecteren deze dreiging als Android/Spy.Agent.BWS. De Android-malware die sinds het begin van deze campagnes in deze operatie wordt gebruikt is gemaakt op basis van de commerciële stalkerwaretool KidLogger.
Het geanalyseerde sample vraagt slechts één indringende toestemming – om toegang te krijgen tot contacten. De reden zou kunnen zijn om onder de radar te blijven; aan de andere kant denken de onderzoekers ook dat het een signaal is dat het slechts de voorafgaande fase is van een spearphishing-aanval die via sms-berichten wordt uitgevoerd. Als de bedreigende actor de app-machtigingen uitbreidt, zou hij ook in staat zijn andere soorten gegevens van getroffen telefoons te exfiltreren, zoals sms-berichten, locatie, opgenomen telefoongesprekken en nog veel meer.
Schaduwkanten
Dave Maasland van ESET Nederland voegt hieraan toe: “Weer wordt duidelijk dat de kracht van technologie en de mogelijkheden op gebied van cyber negatief in kunnen worden gezet in de maatschappij. De burgers van Iran krijgen niet alleen te maken met offline handhaving, maar ook op digitaal vlak worden zij in de gaten gehouden. Het is belangrijk om onderzoek te blijven doen naar de schaduwkanten van de digitale mogelijkheden om aan te blijven tonen dat dit soort zaken plaatsvinden en vervolgens het gesprek aan te gaan hoe we onze maatschappij hiertegen kunnen beschermen.”