I ricercatori di ESET hanno scoperto una nuova versione dello spyware FurBall per Android, utilizzato durante la campagna Domestic Kitten avviata in Iran per sorvegliare i cittadini. Le funzionalità principali sono rimaste invariate, ma i cybercriminali hanno aggiunto metodi di offuscamento al codice per evitare la rilevazione da parte degli antivirus.
FurBall più difficile da rilevare
La campagna di sorveglianza è stata avviata nel 2016 dal gruppo APT-C-50. Gli sviluppatori di Furball hanno utilizzato il codice sorgente, disponibile su GitHub, dello stalkerware commerciale KidLogger, come evidenziato l’anno scorso da Check Point Research. Il malware viene distribuito attraverso un sito fake, simile a quello legittimo, che pubblica articoli tradotti dall’inglese al persiano.
I visitatori sono invitati a scaricare una presunta app di traduzione in formato APK (quindi non dal Google Play Store). Il campione analizzato da ESET chiede solo i permessi per accedere a contatti e storage, ma nel manifesto sono elencati altri permessi che possono essere sfruttati per accedere a messaggi, posizione, cronologia delle chiamate, account, app in esecuzione e installate, informazioni del dispositivo. Lo spyware può anche registrare le chiamate. Tutti dati vengono poi inviati al server C&C (command and control).
Come detto, la nuova versione è più difficile da rilevare perché è stato implementato l’offuscamento del codice. Al momento dell’analisi, il malware veniva rilevato solo da quattro soluzioni di sicurezza. Ora il numero è aumentato a 27. L’installazione di un antivirus è quindi fortemente consigliata per bloccare questa minaccia.