‘FurBall’ Android casus yazılımının yeni bir sürümü, APT-C-50 olarak da bilinen Yurtiçi Yavru Kedi hack grubu tarafından yürütülen mobil gözetim kampanyalarında İran vatandaşlarını hedef aldı.
Casus yazılım, o zamandan beri devam etmekte olan bir toplu gözetleme operasyonunda konuşlandırılıyor. en az 2016. Buna ek olarak, birden fazla siber güvenlik firması, İran devlet destekli bir bilgisayar korsanlığı grubu olduğuna inandıkları Yurtiçi Kitten hakkında rapor verdi.
En yeni FurBall kötü amaçlı yazılım sürümü, önceki sürümlerle birçok benzerliği olduğunu bildiren ESET araştırmacıları tarafından örneklendi ve analiz edildi, ancak şimdi şaşırtma ve C2 güncellemeleri ile birlikte geliyor.
Ayrıca, bu keşif, ‘Yerli Kedi Yavrusu’nun altıncı yılında hala devam ettiğini doğruluyor ve bu da operatörlerin İran rejimine bağlı olduğu ve kanun yaptırımlarından muaf olduğu hipotezini daha da destekliyor.
Yeni FurBall ayrıntıları
FurBall’ın yeni sürümü, kurbanların doğrudan mesajlar, sosyal medya gönderileri, e-postalar, SMS, siyah SEO ve SEO zehirlenmesinden sonra sona erdiği, gerçek sitelerin görsel olarak klonları olan sahte web siteleri aracılığıyla dağıtılmaktadır.
ESET tarafından tespit edilen bir vakada, kötü amaçlı yazılım, ülkede popüler olan bir İngilizce-Farsça çeviri hizmetini taklit eden sahte bir web sitesinde barındırılıyor.
Sahte sürümde, kullanıcıların çevirmenin Android sürümünü indirmelerine izin veren bir Google Play düğmesi var, ancak uygulama mağazasına inmek yerine ‘sarayemaghale.apk.’ adlı bir APK dosyası gönderiliyor.
Android uygulamasının AndroidManifest.xml dosyasında hangi izinlerin tanımlandığına bağlı olarak, casus yazılım aşağıdaki bilgileri çalabilir:
- Pano içeriği
- Cihaz konumu
- SMS mesajları
- Kişi listesi
- Arama kayıtları
- Aramaları kaydet
- Bildirimlerin içeriği
- Yüklü ve çalışan uygulamalar
- Cihaz bilgisi
Ancak ESET, analiz ettiği örneğin sınırlı işlevselliğe sahip olduğunu ve yalnızca kişilere ve depolama ortamına erişim istediğini söylüyor.
Bu izinler, kötüye kullanılırsa hala güçlüdür ve aynı zamanda, hedeflere şüphe uyandırmaz, bu yüzden hack grubunun FurBall’ın potansiyelini kısıtlamasının muhtemel nedeni budur.
Gerekirse, kötü amaçlı yazılım, her 10 saniyede bir HTTP isteği aracılığıyla iletişim kurulan komut ve kontrol (C2) sunucusundan doğrudan yürütmek için komutlar alabilir.
ESET, yeni şaşırtma katmanı açısından, anti-virüs araçlarından algılamadan kaçınmaya çalışan sınıf adlarını, dizeleri, günlükleri ve sunucu URI yollarını içerdiğini söylüyor.
Furball’un önceki sürümlerinde herhangi bir şaşırtmaca özelliği yoktu. Bu nedenle, VirusTotal kötü amaçlı yazılımı dört AV motorunda tespit ederken, daha önce 28 ürün tarafından işaretlenmişti.