Um grupo de hackers iranianos espiona seus próprios compatriotas com a ajuda de um aplicativo manipulado. O spyware FurBall, disfarçado de aplicativo de tradução, tem como alvo cidadãos iranianos.
Qualquer pessoa que baixe aplicativos em seu smartphone ou tablet Android deve ter um software de segurança instalado, se possível. Especialmente quando o aplicativo de tradução desejado acaba sendo uma ferramenta de espionagem - e de repente os dados pessoais mudam de mãos. Isso é exatamente o que está acontecendo atualmente no Irã, de acordo com pesquisadores do fabricante de segurança de TI ESET.
Gatinhos Domésticos do Grupo APT-C-50
Aparentemente, o grupo iraniano APT-C-50 "Domestic Kitten" está realizando essa campanha. Ele esconde uma nova versão do malware Android FurBall em um aplicativo de tradução. Isso coleta uma grande quantidade de informações do dispositivo afetado e as envia de volta para a gangue de hackers. Os pesquisadores da ESET submeteram o aplicativo a uma análise detalhada.
"Até que ponto a versão atual do FurBall está relacionada à agitação no Irã não está claro. Mas é uma estranha coincidência que um grupo de hackers local, que dizem estar próximo aos que estão no poder, agora esteja novamente distribuindo ilegalmente software de vigilância em grande escala”, diz Thorsten Urbanski, especialista em segurança da ESET Alemanha. "Domestic Kitten é conhecido por conduzir operações de vigilância móvel contra cidadãos iranianos e o faz desde pelo menos 2016."
Distribuição "clássica"
No entanto, o grupo APT não é particularmente imaginativo em sua campanha. Ela postou uma cópia de um conhecido site iraniano (www.downloadmaghaleh.com) que oferece traduções de artigos, revistas e livros do inglês para o persa. Como um "serviço" adicional, é oferecido um aplicativo de tradução que pode ser baixado clicando no logotipo do Google Play usado ilegalmente. Obviamente, o software não é baixado da Google Play Store oficial, mas diretamente dos servidores dos criminosos cibernéticos.
Com base nas informações de contato no site legítimo, este serviço é oferecido no Irã. Esse fato sugere que o site falso tem como alvo cidadãos iranianos.
Funções conhecidas
Esta nova versão do FurBall possui os mesmos recursos de monitoramento das versões anteriores. Como a funcionalidade desta variante não mudou, o principal objetivo desta atualização parece ser evitar a detecção por software de segurança. No entanto, as alterações não afetam os produtos ESET, eles detectam essa ameaça como Android/Spy.Agent.BWS. FurBall. O malware Android foi criado com base na ferramenta comercial de stalkerware KidLogger.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.