Logiciel malveillant FurBall

Le logiciel malveillant FurBall a été observé dans le cadre des dernières opérations d'attaque du groupe Domestic Kitten du groupe Advanced Persistent Threat (APT), également connu sous les noms d'ATP-50 et ATP-C-50. On pense que les pirates de Domestic Kitten sont parrainés par l'État par le gouvernement iranien et sont actifs depuis au moins 2018. Le groupe semble s'en prendre aux dissidents iraniens ou aux `` citoyens qui pourraient constituer une menace pour la stabilité du régime iranien, 'comme décrit par les chercheurs qui surveillent les opérations de Domestic Kitten. Les personnes ciblées peuvent inclure des journalistes, des avocats et des militants des droits civiques. Les victimes du groupe ont été détectées dans plusieurs pays à travers le monde - Iran, États-Unis, Royaume-Uni, Pakistan, Afghanistan, Turquie et Ouzbékistan.

Dans leur dernière campagne, Domestic Kitten déploie une menace de malware nommée FurBall Malware. Il est capable d'enregistrer les appels et autres sons de fond, d'accéder à l'emplacement GPS de l'appareil violé, de collecter l'identifiant de l'appareil, ainsi que de collecter des messages texte et des journaux d'appels, des fichiers multimédias, des photos et des vidéos. Les capacités de la menace incluent également la collecte de fichiers à partir d'emplacements de stockage externes.

L'analyse du code de FurBall Malware montre que la menace a été créée en empruntant massivement à une application de surveillance disponible dans le commerce appelée KidLogger. Les similitudes étendues indiquent que les pirates informatiques parviennent à obtenir le code source de l'application ou investissent des efforts importants dans la rétro-ingénierie. Domestic Kitten s'est débarrassé des fonctionnalités qui ne correspondaient pas à leurs objectifs menaçants, puis a ajouté des fonctionnalités supplémentaires à leur place.

La livraison de la menace a été réalisée par plusieurs méthodes différentes. Les pirates ont utilisé des tactiques de phishing, des canaux Telegram, des sites Web iraniens et même distribué des SMS avec un lien vers le FurBall Malware. À son tour, la menace elle-même tente d'éviter d'élever des soupçons en se faisant passer pour une sécurité mobile "VIPRE'' ou en assumant l'identité d'applications légitimes disponibles sur le Google Play Store telles que des jeux mobiles, des applications de papier peint, des services de restauration, etc.