FurBall Malware
FurBall Malware è stato osservato come parte delle ultime operazioni di attacco del gruppo Domestic Kitten, noto anche come ATP-50 e ATP-C-50, del gruppo Advanced Persistent Threat (APT). Si ritiene che gli hacker di Domestic Kitten siano sponsorizzati dallo stato dal governo iraniano e siano attivi almeno dal 2018. Il gruppo sembra andare contro i dissidenti iraniani o "cittadini che potrebbero rappresentare una minaccia per la stabilità del regime iraniano," 'come descritto dai ricercatori che monitorano le operazioni di Domestic Kitten. Gli individui presi di mira possono includere giornalisti, avvocati e attivisti per i diritti civili. Le vittime del gruppo sono state individuate in più paesi in tutto il mondo: Iran, Stati Uniti, Regno Unito, Pakistan, Afghanistan, Turchia e Uzbekistan.
Nella loro ultima campagna, Domestic Kitten distribuisce una minaccia malware chiamata FurBall Malware. È in grado di registrare chiamate e altri suoni di sottofondo, accedere alla posizione GPS del dispositivo violato, raccogliere l'identificativo del dispositivo, nonché raccogliere messaggi di testo e registri delle chiamate, file multimediali, foto e video. Le capacità della minaccia includono anche la raccolta di file da posizioni di archiviazione esterne.
L'analisi del codice di FurBall Malware mostra che la minaccia è stata creata prendendo in prestito pesantemente da un'applicazione di monitoraggio disponibile in commercio chiamata KidLogger. Le ampie somiglianze indicano che gli hacker riescono a ottenere il codice sorgente dell'applicazione o investono sforzi significativi nel reverse engineering di esso. Domestic Kitten si è sbarazzato delle caratteristiche che non erano in linea con i loro scopi minacciosi e quindi ha aggiunto funzionalità aggiuntive al loro posto.
La consegna della minaccia è stata ottenuta attraverso diversi metodi. Gli hacker hanno utilizzato tattiche di phishing, canali Telegram, siti Web iraniani e persino SMS distribuiti con un collegamento a FurBall Malware. A sua volta, la minaccia stessa tenta di evitare di sollevare sospetti fingendo di essere una sicurezza mobile "VIPRE" o assumendo l'identità di applicazioni legittime disponibili sul Google Play Store come giochi per cellulari, applicazioni per sfondi, servizi di ristorazione, ecc.
