ESET araştırmacıları yakın vakitte, APT-C-50 kümesi tarafından düzenlenen Domestic Kitten atağında kullanılan Android makûs hedefli yazılımı FurBall’un yeni bir sürümünü tespit etti.
Domestic Kitten saldırısının İran vatandaşlarını maksat alan taşınabilir gözetleme operasyonları yürüttüğü biliniyor ve bu yeni FurBall versiyonunun da maksadı birebir. Haziran 2021’den bu yana makale, mecmua ve kitap çevirileri sunan bir İran web sitesi, kendini taklit eden bir çeviri uygulaması olarak dağıtılıyor. 2016 yılından beri görülen Domestic Kitten saldırısı devam ediyor.
FurBall’un yeni sürümü, evvelki sürümlerle tıpkı nezaret fonksiyonuna sahip. Bu varyantın fonksiyonelliği değişmediğinden, bu güncellemenin temel hedefi güvenlik yazılımı tarafından algılanmayı önlemek üzere görünüyor. Lakin bu değişikliklerin ESET yazılımı üzerinde hiçbir tesiri yok; ESET eserleri bu tehdidi Android/Spy.Agent.BWS olarak algılıyor. Bu hücumlar başladığından beri bu operasyonda kullanılan Android makus maksatlı yazılımı olan FurBall, KidLogger ticari takip yazılımı aracı temel alınarak oluşturuluyor.
Analiz edilen örnek, şahıslara erişim sağlamak için tek bir müsaadesiz geçiş istiyor. ESET uzmanları bunun ayrıyeten, metin bildirileri yoluyla gerçekleştirilen bir maksada yönelik kimlik avı saldırısının evvelki basamağı olabileceğini de düşünüyor. Tehdit aktörü uygulama müsaadelerini genişletirse, etkilenen telefonlardan SMS bildirileri, aygıt pozisyonu, kayıtlı telefon görüşmeleri ve çok daha fazla data tipini de sızdırabilir.
Kötü gayeli yazılımı keşfeden ESET araştırmacısı Lukáš Štefanko bu bahiste şunları söyledi: “Bu makûs maksatlı Android uygulaması, İngilizce’den Farsça’ya çevrilmiş makaleler ve kitaplar sunan yasal bir siteyi (downloadmaghaleh.com) taklit eden uydurma bir web sitesi aracılığıyla dağıtılıyor. Yasal web sitesindeki irtibat bilgilerine dayanarak, bu hizmeti İran’dan sağlıyorlar. Bu nedenle taklitçi web sitesinin İran vatandaşlarını maksat aldığını düşünüyoruz. Taklitçi, Farsça ‘Uygulamayı indir” yazan bir düğmeye tıkladıktan sonra indirilen bir Android uygulaması sunar. Düğmede Google Play logosu bulunuyor, fakat bu uygulama Google Play mağazasında mevcut değil, direkt saldırganın sunucusundan indiriliyor.”
