- Onderzoekers van ESET identificeerden onlangs een nieuwe versie van de Android-malware FurBall die wordt gebruikt in een Domestic Kitten-campagne.
- De Domestic Kitten-campagne loopt al minstens sinds 2016 en richt zich voornamelijk op Iraanse burgers.
- ESET-onderzoekers ontdekten een nieuw, versluierd Android Furball-sample dat in de campagne wordt gebruikt.
- De spyware wordt verspreid via een copycat website.
- De geanalyseerde sample heeft slechts beperkte spionagefunctionaliteit ingeschakeld, om onder de radar te blijven.
Sliedrecht, 20 oktober 2022 – ESET-onderzoekers hebben een nieuwe versie Android-malware FurBall ontdekt die wordt gebruikt in een Domestic Kitten-campagne van de APT-C-50-groep. De Domestic Kitten-campagne staat bekend om het uitvoeren van mobiele surveillanceoperaties tegen Iraanse burgers, en deze nieuwe FurBall-versie is niet anders in zijn doelstelling en doelwitten. Sinds juni 2021 wordt de ontdekte versie, die vermomd is als een vertaal-app, verspreid via een kopie van een Iraanse website die vertaalde artikelen, tijdschriften en boeken aanbiedt. De Domestic Kitten-campagne loopt al vanaf ten minste 2016.
De ontdekte versie van FurBall heeft dezelfde surveillancefunctionaliteit als eerdere versies. Aangezien de functionaliteit van deze variant niet is veranderd, lijkt het voornaamste doel van deze update te zijn om detectie door beveiligingssoftware te vermijden. Deze wijzigingen hebben echter geen effect gehad op ESET-software; ESET-producten detecteren deze dreiging als Android/Spy.Agent.BWS. FurBall, de Android-malware die sinds het begin van deze campagnes in deze operatie wordt gebruikt, is gemaakt op basis van de commerciële stalkerwaretool KidLogger.
De geanalyseerde sample vraagt slechts één indringende toestemming - om toegang te krijgen tot contacten. De reden zou kunnen zijn om onder de radar te blijven; aan de andere kant denken de onderzoekers ook dat het een signaal is dat het slechts de voorafgaande fase is van een spearphishing-aanval die via sms-berichten wordt uitgevoerd. Als de bedreigende actor de app-machtigingen uitbreidt, zou hij ook in staat zijn andere soorten gegevens van getroffen telefoons te exfiltreren, zoals sms-berichten, locatie, opgenomen telefoongesprekken en nog veel meer.
"Deze schadelijke Android-toepassing wordt geleverd via een valse website die een legitieme site nabootst die artikelen en boeken aanbiedt die van het Engels naar het Perzisch zijn vertaald (downloadmaghaleh.com). Op basis van de contactinformatie van de legitieme website leveren ze deze dienst vanuit Iran, waardoor we met grote zekerheid aannemen dat de copycat website zich richt op Iraanse burgers," zegt ESET-onderzoeker Lukáš Štefanko, die de malware ontdekte.
"Het doel van de copycat is om een Android app ter download aan te bieden na het klikken op een knop die in het Perzisch zegt: 'Download de applicatie'. De knop heeft het Google Play logo, maar deze app is niet beschikbaar in de Google Play store; hij wordt rechtstreeks van de server van de aanvaller gedownload," voegt hij eraan toe.
Dave Maasland van ESET Nederland voegt hieraan toe: “Wederom wordt duidelijk dat de kracht van technologie en de mogelijkheden op gebied van cyber negatief in kunnen worden gezet in de maatschappij. De burgers van Iran krijgen niet alleen te maken met offline handhaving, maar ook op digitaal vlak worden zij in de gaten gehouden. Het is belangrijk om onderzoek te blijven doen naar de schaduwkanten van de digitale mogelijkheden om aan te blijven tonen dat dit soort zaken plaatsvinden en vervolgens het gesprek aan te gaan hoe we onze maatschappij hiertegen kunnen beschermen.”
Lees voor meer technische informatie over Furball en Domestic Kitten de blogpost "Domestic Kitten campaign spying on Iranian citizens with new Furball malware" op WeLiveSecurity. Volg ESET Research op Twitter voor het laatste nieuws van ESET Research.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en Twitter.