在国内小猫黑客组织(也称为 APT-C-50)进行的移动监视活动中,发现了一个新版本的“FurBall”Android 间谍软件针对伊朗公民。
该间谍软件部署在至少自 2016 年以来一直在进行的大规模监视行动中 。此外,多家网络安全公司报告了国内小猫,他们认为这是伊朗国家支持的黑客组织。
ESET 研究人员对最新的 FurBall 恶意软件版本进行了采样和分析,他们报告说它与早期版本有许多相似之处,但现在带有混淆和 C2 更新。
此外,这一发现证实了“国内小猫”在其第六个年头仍在进行中,这进一步支持了运营商与伊朗政权有联系并享有执法豁免权的假设。
新毛球细节
新版本的 FurBall 是通过虚假网站分发的,这些虚假网站在视觉上是真实网站的克隆,受害者最终会在直接消息、社交媒体帖子、电子邮件、SMS、黑色 SEO 和 SEO 中毒之后。
在 ESET 发现的一个案例中,恶意软件托管在一个模仿该国流行的英语到波斯语翻译服务的假网站上。
在假版中,有一个 Google Play 按钮,据说可以让用户下载 Android 版本的翻译器,但他们并没有登陆应用商店,而是向他们发送了一个名为“sarayemaghale.apk.”的 APK 文件。
根据 Android 应用程序的 AndroidManifest.xml 文件中定义的权限,间谍软件能够窃取以下信息:
- 剪贴板内容
- 设备位置
- 短信
- 联系人列表
- 通话记录
- 记录通话
- 通知内容
- 已安装和正在运行的应用程序
- 设备信息
然而,ESET 表示,它分析的样本功能有限,仅请求访问联系人和存储媒体。
(ESET)
如果被滥用,这些权限仍然很强大,同时不会引起目标的怀疑,这可能是黑客组织限制 FurBall 潜力的原因。
如果需要,恶意软件可以直接从其命令和控制 (C2) 服务器接收要执行的命令,每 10 秒通过一个 HTTP 请求联系该服务器。
在新的混淆层方面,ESET 表示它包括类名、字符串、日志和服务器 URI 路径,试图逃避反病毒工具的检测。
以前版本的 Furball 根本没有任何混淆功能。因此,VirusTotal 在四个 AV 引擎上检测到恶意软件,而之前,它被 28 个产品标记。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客组织更新Furball Android间谍软件以逃避检测
