Wouter Hoeffnagel - 21 oktober 2022

Nieuwe FurBall-spyware vermomt als vertaal-app

Nieuwe FurBall-spyware vermomt als vertaal-app image

Een nieuwe versie Android-malware FurBall is ontdekt door ESET-onderzoekers. De spyware wordt gebruikt in een Domestic Kitten-campagne van de APT-C-50-groep. De Domestic Kitten-campagne staat bekend om het uitvoeren van mobiele surveillanceoperaties tegen Iraanse burgers, en deze nieuwe FurBall-versie is niet anders in zijn doelstelling en doelwitten. Sinds juni 2021 wordt de ontdekte versie, die vermomd is als een vertaal-app, verspreid via een kopie van een Iraanse website die vertaalde artikelen, tijdschriften en boeken aanbiedt. De Domestic Kitten-campagne loopt al vanaf ten minste 2016.

De ontdekte versie van FurBall heeft dezelfde surveillancefunctionaliteit als eerdere versies van de spyware. Aangezien de functionaliteit van deze variant niet is veranderd, lijkt het voornaamste doel van deze update te zijn om detectie door beveiligingssoftware te vermijden. ESET-producten detecteren deze dreiging als Android/Spy.Agent.BWS. De Android-malware die sinds het begin van deze campagnes in deze operatie wordt gebruikt is gemaakt op basis van de commerciële stalkerwaretool KidLogger.

Spearphishing via sms

Het geanalyseerde sample vraagt slechts één indringende toestemming - om toegang te krijgen tot contacten. De reden zou kunnen zijn om onder de radar te blijven; aan de andere kant denken de onderzoekers ook dat het een signaal is dat het slechts de voorafgaande fase is van een spearphishing-aanval die via sms-berichten wordt uitgevoerd. Als de bedreigende actor de app-machtigingen uitbreidt maakt dit het mogelijk ook andere soorten gegevens van getroffen telefoons te exfiltreren, zoals sms-berichten, locatie en opgenomen telefoongesprekken.

"Deze schadelijke Android-toepassing wordt geleverd via een valse website die een legitieme site nabootst die artikelen en boeken aanbiedt die van het Engels naar het Perzisch zijn vertaald (downloadmaghaleh.com). Op basis van de contactinformatie van de legitieme website leveren ze deze dienst vanuit Iran, waardoor we met grote zekerheid aannemen dat de copycat website zich richt op Iraanse burgers," zegt ESET-onderzoeker Lukáš Štefanko, die de malware ontdekte.

Schaduwkant van digitale mogelijkheden

"Het doel van de copycat is om een Android-app ter download aan te bieden na het klikken op een knop die in het Perzisch zegt: 'Download de applicatie'. De knop heeft het Google Play logo, maar deze app is niet beschikbaar in de Google Play store; hij wordt rechtstreeks van de server van de aanvaller gedownload," voegt hij eraan toe. Štefanko noemt het belangrijk om onderzoek te blijven doen naar de schaduwkanten van de digitale mogelijkheden om aan te blijven tonen dat dit soort zaken plaatsvinden en vervolgens het gesprek aan te gaan hoe we onze maatschappij hiertegen kunnen beschermen.

Dave Maasland van ESET Nederland voegt hieraan toe: “Wederom wordt duidelijk dat de kracht van technologie en de mogelijkheden op gebied van cyber negatief in kunnen worden gezet in de maatschappij. De burgers van Iran krijgen niet alleen te maken met offline handhaving, maar ook op digitaal vlak worden zij in de gaten gehouden. Het is belangrijk om onderzoek te blijven doen naar de schaduwkanten van de digitale mogelijkheden om aan te blijven tonen dat dit soort zaken plaatsvinden en vervolgens het gesprek aan te gaan hoe we onze maatschappij hiertegen kunnen beschermen.”

Lees meer technische informatie over Furball en Domestic Kitten op WeLiveSecurity.

Axians 12/11/2024 t/m 26/11/2024 BN+BW