FurBall Malware

Descrição do FurBall Malware

O FurBall Malware foi observado como parte das operações de ataque mais recentes do grupo Domestic Kitten, Ameaça Persistente Avançada (APT), também conhecido como ATP-50 e ATP-C-50. Acredita-se que os hackers do Domestic Kitten sejam patrocinados pelo governo iraniano e estejam ativos desde pelo menos 2018. O grupo parece estar perseguindo dissidentes iranianos ou cidadãos que possam representar uma ameaça à estabilidade do regime iraniano, 'conforme descrito pelos pesquisadores que monitoram as operações de Gatinho doméstico. Os indivíduos visados podem incluir jornalistas, advogados e ativistas dos direitos civis. As vítimas do grupo foram detectadas em vários países ao redor do mundo - Irã, Estados Unidos, Reino Unido, Paquistão, Afeganistão, Turquia e Uzbequistão.

Em sua última campanha, o Domestic Kitten implantou uma ameaça de malware chamada FurBall Malware. O FurBall Malware é capaz de gravar chamadas e outros sons de fundo, acessar a localização GPS do dispositivo violado, coletar o identificador do dispositivo, bem como coletar mensagens de texto e registros de chamadas, arquivos de mídia, fotos e vídeos. Os recursos da ameaça também incluem a coleta de arquivos de locais de armazenamento externos.

A análise do código do FurBall Malware mostra que a ameaça foi construída por meio de muitos empréstimos de um aplicativo de monitoramento disponível comercialmente chamado KidLogger. As extensas semelhanças apontam para que os hackers consigam obter o código-fonte do aplicativo ou invistam esforços significativos em sua engenharia reversa. Domestic Kitten livrou-se dos recursos que não se alinhavam com seus propósitos ameaçadores e, em seguida, adicionou funcionalidades adicionais em seu lugar.

A entrega da ameaça foi alcançada por meio de vários métodos diferentes. Os hackers empregaram táticas de phishing, canais do Telegram, sites iranianos e até distribuíram SMS com um link para o FurBall Malware. Por sua vez, a própria ameaça tenta evitar levantar qualquer suspeita fingindo ser um segurança móvel 'VIPRE' ou assumindo a identidade de aplicativos legítimos disponíveis na loja do Google Play, como jogos para celular, aplicativos de papel de parede, serviços de restaurante, etc.