'Furball' Android casus yazılımının yeni bir versiyonu, APT-C-50 olarak da bilinen yerli kedi hackleme grubu tarafından yürütülen mobil gözetim kampanyalarında İran vatandaşlarını hedefleyen bulundu.
Casus yazılım, en az 2016'dan beri devam eden bir kitlesel-sörf işleminde konuşlandırılıyor. Buna ek olarak, birden fazla siber güvenlik firması, İran devlet destekli bir hack grubu olduğuna inandıkları yerli yavru kedi hakkında rapor verdi.
En yeni Furball kötü amaçlı yazılım versiyonu, daha önceki sürümlerle birçok benzerliği olduğunu bildiren ESET araştırmacıları tarafından örneklendi ve analiz edildi, ancak şimdi gizleme ve C2 güncellemeleri ile birlikte geliyor.
Ayrıca, bu keşif, 'yerli kedi yavrusu'nun altıncı yılında hala devam ettiğini doğrulamaktadır, bu da operatörlerin İran rejimine bağlı olduğu ve kolluk kuvvetlerinden gelen bağışıklığın tadını çıkardığı hipotezini daha da desteklemektedir.
Furball'un yeni versiyonu, kurbanların doğrudan mesajlar, sosyal medya yayınları, e -postalar, SMS, Black SEO ve SEO zehirlenmesinden sonra görsel olarak gerçek olanların klonları olan sahte web siteleri aracılığıyla dağıtılmaktadır.
ESET tarafından tespit edilen bir durumda, kötü amaçlı yazılım, ülkede popüler olan İngilizce-Persan-Persan çeviri hizmetini taklit eden sahte bir web sitesinde barındırılmaktadır.
Sahte sürümde, kullanıcıların çevirmenin bir Android sürümünü indirmelerini sağlayan bir Google Play düğmesi var, ancak App Store'a inmek yerine 'Sarayemaghale.apk' adlı bir APK dosyası gönderiliyor.
Android uygulamasının Androidmanifest.xml dosyasında hangi izinlerin tanımlandığına bağlı olarak, casus yazılım aşağıdaki bilgileri çalabilir:
Ancak ESET, analiz ettiği örneğin sınırlı işlevselliğe sahip olduğunu ve yalnızca kişilere ve depolama ortamlarına erişim talep ettiğini söylüyor.
Bu izinler, istismar edildiğinde ve aynı zamanda hedeflere şüphe uyandırmayacaksa hala güçlüdür, bu yüzden hackleme grubu Furball'un potansiyelini kısıtlamanın nedeni budur.
Gerekirse, kötü amaçlı yazılım, her 10 saniyede bir HTTP isteği aracılığıyla temasa geçen komut ve kontrol (C2) sunucusundan doğrudan yürütme komutları alabilir.
Yeni gizleme katmanı açısından ESET, anti-virüs araçlarından algılamadan kaçmaya çalışan sınıf adlarını, dizeleri, günlükleri ve sunucu URI yollarını içerdiğini söylüyor.
Furball'un önceki versiyonlarında hiç şaşkınlık göstermedi. Bu nedenle, Virustotal dört AV motorunda kötü amaçlı yazılımları tespit ederken, daha önce 28 ürün tarafından işaretlendi.
Yeni Android kötü amaçlı yazılım 'Ratmilad' verilerinizi çalabilir, ses kaydedebilir
Yeni İran Hacking Group APT42 Özel Android Spyware'i Dağıtır
Resmi Olmayan WhatsApp Android Uygulaması Kullanıcıların Hesaplarını Çalmaya Yakalandı
Sharkbot kötü amaçlı yazılım, girişlerinizi çalmak için Google Play'e gizlice girer
Google Play'de bulunan 2 milyon yüklemeli Android kötü amaçlı yazılım uygulamaları
Kaynak: Bleeping Computer