黑客使用新版 FurBall Android 恶意软件监视伊朗公民

被称为“国内小猫”的伊朗威胁行为者被归因于一项新的移动活动，该活动伪装成翻译应用程序，以分发名为 FurBall 的 Android 恶意软件的更新变体。

ESET 研究员 Lukas Stefanko在与 The Hacker News 分享的一份报告中说： “自 2021 年 6 月以来，它已作为翻译应用程序通过模仿伊朗网站的方式分发，该网站提供翻译的文章、期刊和书籍。”

斯洛伐克网络安全公司补充说，这些更新在保留与早期版本相同的监视功能的同时，旨在逃避安全解决方案的检测。

国内小猫，也称为 APT-C-50，是一个伊朗威胁活动集群，之前已被确定为针对感兴趣的个人，目的是从受感染的移动设备中获取敏感信息。众所周知，它至少从 2016 年就开始活跃。

趋势科技在 2019 年进行的一项战术分析显示，国内小猫与另一个名为Bouncing Golf的组织有潜在联系，该组织是针对中东国家的网络间谍活动。

根据Check Point的说法，APT-C-50 主要挑选出“可能对伊朗政权的稳定构成威胁的伊朗公民，包括内部持不同政见者、反对派力量、伊斯兰国的拥护者、伊朗的库尔德少数民族等等” 。

该组织开展的活动传统上依赖于引诱潜在受害者通过不同的攻击媒介安装流氓应用程序，包括伊朗博客网站、电报频道和 SMS 消息。

无论采用何种方法，这些应用程序都充当了传播恶意软件的渠道，该恶意软件由以色列网络安全公司代号为 FurBall，这是 KidLogger 的定制版本，具有从设备收集和窃取个人数据的功能。

ESET 发现的该活动的最新迭代涉及以翻译服务为幌子运行的应用程序。以前用于隐藏恶意行为的封面涵盖安全、新闻、游戏和壁纸应用等不同类别。

该应用程序（“ sarayemaghale.apk ”）是通过一个模仿 downloadmaghaleh[.]com 的虚假网站提供的，该网站是一个提供从英语翻译成波斯语的文章和书籍的合法网站。

最新版本值得注意的是，虽然保留了核心间谍软件功能，但该工件仅请求访问联系人的一项权限，从而限制其访问 SMS 消息、设备位置、通话记录和剪贴板数据。

“原因可能是它的目标是保持低调；另一方面，我们也认为这可能表明它只是通过短信进行的鱼叉式网络钓鱼攻击的前一个阶段，”Stefanko 指出。

尽管有这个障碍，FurBall 恶意软件以其目前的形式可以从远程服务器检索命令，从而允许它收集联系人、来自外部存储的文件、已安装应用程序列表、基本系统元数据和同步的用户帐户。

尽管活动应用程序功能有所减少，但该示例在实施基本代码混淆方案方面进一步脱颖而出，该方案被视为克服安全障碍的尝试。

“国内小猫运动仍然活跃，使用模仿网站瞄准伊朗公民，”斯特凡科说。“运营商的目标从分发功能齐全的 Android 间谍软件到更轻量级的变体略有改变。”