FurBall Malware
Die FurBall-Malware wurde im Rahmen der jüngsten Angriffsoperationen der APT-Gruppe (Advanced Persistent Threat) Domestic Kitten, auch bekannt als ATP-50 und ATP-C-50, beobachtet. Es wird angenommen, dass die Hacker von Domestic Kitten von der iranischen Regierung staatlich gefördert werden und seit mindestens 2018 aktiv sind. Die Gruppe scheint iranische Dissidenten oder Bürger zu verfolgen, die 'eine Bedrohung für die Stabilität des iranischen Regimes darstellen könnten', wie von den Forschern beschrieben, die den Betrieb von Hauskätzchen überwachen. Zu den Zielpersonen können Journalisten, Anwälte und Bürgerrechtler gehören. Opfer der Gruppe wurden in mehreren Ländern auf der ganzen Welt entdeckt - im Iran, in den USA, in Großbritannien, Pakistan, Afghanistan, in der Türkei und in Usbekistan.
In ihrer neuesten Kampagne setzt Domestic Kitten eine Malware-Bedrohung namens FurBall Malware ein. Es ist in der Lage, Anrufe und andere Hintergrundgeräusche aufzuzeichnen, auf den GPS-Standort des beschädigten Geräts zuzugreifen, die Gerätekennung zu erfassen sowie Textnachrichten und Anrufprotokolle, Mediendateien, Fotos und Videos zu sammeln. Zu den Funktionen der Bedrohung gehört auch das Sammeln von Dateien von externen Speicherorten.
Die Analyse des Codes von FurBall Malware zeigt, dass die Bedrohung durch starke Anleihen bei einer im Handel erhältlichen Überwachungsanwendung namens KidLogger entstanden ist. Die umfangreichen Ähnlichkeiten deuten darauf hin, dass es den Hackern entweder gelingt, den Quellcode der Anwendung zu erhalten, oder dass erhebliche Anstrengungen in das Reverse Engineering dieser Anwendung investiert werden. Domestic Kitten hat die Funktionen entfernt, die nicht mit ihren Bedrohungszwecken übereinstimmten, und an ihrer Stelle zusätzliche Funktionen hinzugefügt.
Die Übermittlung der Bedrohung wurde durch verschiedene Methoden erreicht. Die Hacker verwendeten Phishing-Taktiken, Telegrammkanäle, iranische Websites und verteilten sogar SMS mit einem Link zur FurBall-Malware. Die Bedrohung selbst versucht wiederum, jeden Verdacht zu vermeiden, indem sie sich als "VIPRE" -Mobilsicherheit ausgibt oder die Identität legitimer Anwendungen annimmt, die im Google Play Store verfügbar sind, wie z. B. Handyspiele, Hintergrundbildanwendungen, Restaurantdienste usw.
