El actor de amenazas iraní conocido como gatito domestico se ha atribuido a una nueva campaña móvil que se hace pasar por una aplicación de traducción para distribuir una variante actualizada de un malware de Android conocido como FurBall.
«Desde junio de 2021, se ha distribuido como una aplicación de traducción a través de una copia de un sitio web iraní que proporciona artículos, revistas y libros traducidos», dijo el investigador de ESET Lukas Stefanko. dijo en un informe compartido con The Hacker News.
Las actualizaciones, aunque conservan la misma funcionalidad de vigilancia que las versiones anteriores, están diseñadas para evadir la detección por parte de las soluciones de seguridad, agregó la firma de ciberseguridad eslovaca.
Domestic Kitten, también llamado APT-C-50, es un grupo de actividades de amenazas iraníes que se identificó previamente como objetivo de personas de interés con el objetivo de recopilar información confidencial de dispositivos móviles comprometidos. Se sabe que está activo desde al menos 2016.
Un análisis táctico realizado por Trend Micro en 2019 revela las conexiones potenciales de Domestic Kitten con otro grupo llamado Golf rebotandouna campaña de ciberespionaje dirigida a países de Oriente Medio.
APT-C-50 ha señalado principalmente a «ciudadanos iraníes que podrían representar una amenaza para la estabilidad del régimen iraní, incluidos disidentes internos, fuerzas de oposición, defensores de ISIS, la minoría kurda en Irán y más», según Check Point.
Las campañas emprendidas por el grupo se han basado tradicionalmente en atraer a las víctimas potenciales para que instalen una aplicación maliciosa a través de diferentes vectores de ataque, incluidos los sitios de blogs iraníes, los canales de Telegram y los mensajes SMS.
Independientemente del método empleado, las aplicaciones actúan como un conducto para entregar una pieza de malware con nombre en código de la compañía de seguridad cibernética israelí llamada Furball, una versión personalizada de KidLogger que viene con capacidades para recopilar y filtrar datos personales de los dispositivos.
La última iteración de la campaña descubierta por ESET implica que la aplicación opera bajo la apariencia de un servicio de traducción. Las portadas anteriores utilizadas para ocultar el comportamiento malicioso abarcan diferentes categorías, como aplicaciones de seguridad, noticias, juegos y fondos de pantalla.
La aplicación («sarayemaghale.apk«) se entrega a través de un sitio web falso que imita a downloadmaghaleh[.]com, un sitio legítimo que ofrece artículos y libros traducidos del inglés al persa.
Lo notable de la última versión es que, si bien se conservan las funciones principales del software espía, el artefacto solicita solo un permiso para acceder a los contactos, lo que limita el acceso a los mensajes SMS, la ubicación del dispositivo, los registros de llamadas y los datos del portapapeles.
«La razón podría ser su objetivo de permanecer bajo el radar; por otro lado, también creemos que podría indicar que es solo la fase anterior de un ataque de phishing dirigido a través de mensajes de texto», señaló Stefanko.
A pesar de esta desventaja, el malware Furball, en su forma actual, puede recuperar comandos de un servidor remoto que le permite recopilar contactos, archivos de almacenamiento externo, una lista de aplicaciones instaladas, metadatos básicos del sistema y cuentas de usuario sincronizadas.
A pesar de la reducción en la funcionalidad de la aplicación activa, la muestra se destaca aún más por implementar un esquema de ofuscación de código elemental que se considera un intento de superar las barreras de seguridad.
“La campaña Domestic Kitten todavía está activa, utilizando sitios web imitadores para dirigirse a los ciudadanos iraníes”, dijo Stefanko. «El objetivo del operador ha cambiado ligeramente de distribuir software espía de Android con todas las funciones a una variante más ligera».