FurBall Malware
De FurBall-malware is waargenomen als onderdeel van de laatste aanvalsoperaties van de Advanced Persistent Threat (APT) -groep Domestic Kitten, ook bekend als ATP-50 en ATP-C-50. De hackers van Domestic Kitten worden verondersteld door de staat te worden gesponsord door de Iraanse regering en zijn actief sinds ten minste 2018. De groep lijkt achter Iraanse dissidenten aan te gaan of 'burgers die een bedreiging kunnen vormen voor de stabiliteit van het Iraanse regime, 'zoals beschreven door de onderzoekers die de werking van Domestic Kitten volgen. De beoogde personen kunnen journalisten, advocaten en burgerrechtenactivisten zijn. Slachtoffers van de groep zijn ontdekt in meerdere landen over de hele wereld: Iran, de VS, het VK, Pakistan, Afghanistan, Turkije en Oezbekistan.
In hun nieuwste campagne implementeert Domestic Kitten een malwarebedreiging genaamd FurBall Malware. Het is in staat om oproepen en andere achtergrondgeluiden op te nemen, toegang te krijgen tot de GPS-locatie van het geschonden apparaat, apparaat-ID's te verzamelen, evenals sms-berichten en oproeplogboeken, mediabestanden, foto's en video's te verzamelen. De mogelijkheden van de dreiging omvatten ook het verzamelen van bestanden van externe opslaglocaties.
Analyse van de code van FurBall Malware laat zien dat de dreiging is ontstaan door zwaar te lenen van een commercieel beschikbare monitoringtoepassing genaamd KidLogger. De grote overeenkomsten wijzen erop dat de hackers ofwel erin slagen om de broncode van de applicatie te bemachtigen, ofwel aanzienlijke inspanningen steken in reverse-engineering ervan. Domestic Kitten verwijderde de functies die niet overeenkwamen met hun bedreigende doeleinden en voegde vervolgens extra functionaliteiten toe voor hun plaats.
De levering van de dreiging werd bereikt via verschillende methoden. De hackers gebruikten phishing-tactieken, Telegram-kanalen, Iraanse websites en verspreidden zelfs sms-berichten met een link naar de FurBall Malware. De dreiging zelf probeert op zijn beurt elk vermoeden te vermijden door zich voor te doen als een 'VIPRE'-mobiele beveiliging of door de identiteit aan te nemen van legitieme applicaties die beschikbaar zijn in de Google Play Store, zoals mobiele games, wallpaper-applicaties, restaurantservices, enz.
