El equipo de
investigación de ESET, compañía líder en detección proactiva de amenazas, identificó
recientemente una nueva versión del malware para Android, FurBall, que se
utiliza en una campaña de Domestic Kitten cuyo objetivo es monitorear a través
de los dispositivos móviles la actividad que realizan los usuarios. Desde junio
de 2021 este malware se distribuye como una app de traducción a través de un
sitio web falso, que imita un sitio legítimo, que ofrece artículos y libros
traducidos.
Los puntos clave que
señala ESET de esta investigación, son:
La campaña Domestic
Kitten sigue en curso y se remonta al menos a 2016.
Se descubrió una nueva
muestra ofuscada del malware para Android Furball utilizada en la campaña.
Se distribuye
utilizando un sitio falso que suplanta la identidad de otro legítimo.
Para permanecer bajo el
radar, la muestra analizada solo tiene habilitada la funcionalidad de espionaje
restringido.
“La nueva versión del
malware para Android FurBall se utiliza en una campaña de Domestic Kitten,
llevada adelante por el grupo de APT-C-50. Esta nueva versión cuenta con las
mismas funcionalidades para espiar que las versiones anteriores y dado que la
capacidad del malware no ha cambiado en esta variante, el objetivo principal de
esta actualización parece ser evitar la detección por parte soluciones de
seguridad. Sin embargo, estas modificaciones no han tenido efecto en el
software de ESET, ya que los productos de ESET detectan esta amenaza”, menciona
Lukas Stefanko, Malware Researcher de ESET.
La muestra analizada
por ESET solicita solo un permiso intrusivo a la víctima al momento de ser
instalada: acceder a los contactos. La razón podría ser su intención de
permanecer bajo el radar; por otro lado, el equipo de investigación cree que
podría indicar ser la fase anterior de un ataque de spearphishing realizado a
través de mensajes de texto. Si el actor de amenazas amplía los permisos de la
aplicación, también sería capaz de filtrar otro tipo de datos de los teléfonos
afectados, como mensajes SMS, ubicación del dispositivo, llamadas telefónicas
grabadas y mucho más.
Esta aplicación maliciosa para Android se distribuye a través de un sitio web falso que copia el diseño de un sitio legítimo que ofrece artículos y libros traducidos del inglés al persa (downloadmaghaleh.com). Según la información de contacto del sitio web legítimo, este servicio se brinda desde Irán, lo que lleva a creer que el sitio web falso fue diseñado para atraer a usuarios. El propósito de los atacantes con este falso sitio es ofrecer una aplicación para Android que es posible descargar después de hacer clic en un botón que dice, en persa, “Descargar la aplicación”. El botón tiene el logotipo de Google Play, pero la aplicación no está disponible en la tienda oficial de Google para Android; sino que se descarga directamente desde el servidor del atacante. La aplicación fue cargada a VirusTotal y desde ahí se activó una de las reglas YARA de ESET, lo que dio la oportunidad de analizarla.
De acuerdo a la última
información disponible en el directorio abierto de descarga de la APK en el
falso sitio web, desde ESET infieren que esta aplicación ha estado disponible
para su descarga al menos desde el 21 de junio de 2021.
FurBall, el malware para Android utilizado en esta operación desde que comenzaron estas campañas, fue creado sobre la base de la herramienta de stalkerware KidLogger , la cual está disponible para la venta. Según el equipo de investigación de ESET, los desarrolladores de FurBall se inspiraron en la versión de código abierto de hace siete años que está disponible en Github.
“La campaña Domestic
Kitten todavía está activa y utiliza falsos sitios web para dirigirse a los
usuarios de la aplicación. El objetivo de los operadores detrás de esta campaña
ha cambiado ligeramente y pasó de distribuir spyware para Android con todas las
funciones a una variante más ligera. Solicita solo un permiso intrusivo, que es
para acceder a los contactos, con lo cual probablemente no despierte demasiadas
sospechas en las posibles víctimas durante el proceso de instalación. Esta
también podría ser la primera etapa de recopilación de contactos a los que
podría seguir el spearphishing a través de mensajes de texto. Además de reducir
las funcionalidades de su aplicación, los creadores del malware intentaron
disminuir la cantidad de detecciones mediante la implementación de un esquema
de ofuscación de código simple para ocultar sus intenciones de las soluciones
de seguridad para dispositivos móviles.”, concluye Stefanko de ESET.