黑客使用新版FurBall Android恶意软件监视伊朗公民

伊朗威胁行为体家猫被归因于一项新的移动活动，该活动伪装成一个翻译应用程序来分发一种名为FurBall的Android恶意软件的更新版本。

ESET研究员卢卡斯·斯特凡科（Lukas Stefanko）在与《黑客新闻》（Hacker News）分享的一份报告中表示：“自2021 6月以来，它已通过一家伊朗网站的复制品作为翻译应用程序分发，该网站提供翻译文章、期刊和书籍”。

斯洛伐克网络安全公司补充道，这些更新虽然保留了与早期版本相同的监控功能，但旨在逃避安全解决方案的检测。

国内小猫，也称为APT-C-50，是一个伊朗威胁活动集群，此前被认定为针对感兴趣的个人，目的是从受威胁的移动设备获取敏感信息。至少从2016年起，它就开始活跃。

Trend Micro在2019年进行的一项战术分析显示，家猫与另一个名为“弹跳高尔夫”的组织有潜在联系，该组织是一个针对中东国家的网络间谍活动。

据Check Point报道，APT-C-50主要针对“可能对伊朗政权稳定构成威胁的伊朗公民，包括内部持不同政见者、反对派武装、ISIS倡导者、伊朗库尔德少数民族等”。

该组织开展的活动传统上依赖于通过不同的攻击媒介，包括伊朗博客网站、Telegram频道和短信，诱骗潜在受害者安装流氓应用程序。

无论采用何种方法，这些应用程序都充当了一个管道，传递一个由以色列网络安全公司命名为FurBall的恶意软件，这是KidLogger的定制版本，具有从设备中收集和过滤个人数据的能力。

ESET发现的最新一次活动涉及到以翻译服务为幌子的应用程序。以前用于隐藏恶意行为的封面涵盖了不同的类别，如安全、新闻、游戏和壁纸应用程序。

该应用程序（“sarayemaghale.apk”）是通过一个模仿downloadmaghaleh[.]com的假网站提供的，该网站是一个提供从英语翻译成波斯语的文章和书籍的合法网站。

最新版本值得注意的是，虽然保留了核心间谍软件功能，但该产品只请求一个访问联系人的权限，从而限制其访问SMS消息、设备位置、通话记录和剪贴板数据。

斯特凡科指出：“原因可能是它的目标是不受关注；另一方面，我们也认为这可能表明它只是通过短信进行的矛式网络钓鱼攻击的前一阶段”。

尽管存在这一缺陷，FurBall恶意软件以其目前的形式，可以从远程服务器检索命令，从而收集联系人、外部存储中的文件、安装的应用程序列表、基本系统元数据和同步的用户帐户。

尽管活动应用程序功能有所减少，但该示例进一步突出了实现基本代码模糊方案的作用，该方案被视为试图突破安全障碍。

斯特凡科说：“国内小猫运动仍然活跃，利用山寨网站攻击伊朗公民”。“运营商的目标略有改变，从发布功能齐全的Android间谍软件转向更轻的版本”。