Malware FurBall
FurBall Malware se ha observado como parte de las últimas operaciones de ataque del grupo de amenazas persistentes avanzadas (APT) Domestic Kitten, también conocido como ATP-50 y ATP-C-50. Se cree que los piratas informáticos de Domestic Kitten están patrocinados por el gobierno iraní y han estado activos desde al menos 2018. El grupo parece estar persiguiendo a los disidentes iraníes o 'ciudadanos que podrían representar una amenaza para la estabilidad del régimen iraní'. 'como lo describen los investigadores que monitorean las operaciones de Domestic Kitten. Las personas objetivo pueden incluir periodistas, abogados y activistas de derechos civiles. Se han detectado víctimas del grupo en varios países de todo el mundo: Irán, Estados Unidos, Reino Unido, Pakistán, Afganistán, Turquía y Uzbekistán.
En su última campaña, Domestic Kitten implementa una amenaza de malware llamada FurBall Malware. Es capaz de grabar llamadas y otros sonidos de fondo, acceder a la ubicación GPS del dispositivo violado, recopilar el identificador del dispositivo, así como recopilar mensajes de texto y registros de llamadas, archivos multimedia, fotos y videos. Las capacidades de la amenaza también incluyen la recopilación de archivos de ubicaciones de almacenamiento externo.
El análisis del código de FurBall Malware muestra que la amenaza se generó tomando prestado mucho de una aplicación de monitoreo disponible comercialmente llamada KidLogger. Las extensas similitudes apuntan a que los piratas informáticos logran obtener el código fuente de la aplicación o invierten esfuerzos significativos en realizar ingeniería inversa. Domestic Kitten se deshizo de las características que no se alineaban con sus propósitos amenazantes y luego agregó funcionalidades adicionales en su lugar.
La entrega de la amenaza se logró a través de varios métodos diferentes. Los piratas informáticos emplearon tácticas de phishing, canales de Telegram, sitios web iraníes e incluso distribuyeron SMS con un enlace al FurBall Malware. A su vez, la amenaza en sí misma intenta evitar levantar sospechas pretendiendo ser una seguridad móvil 'VIPRE' o asumiendo la identidad de aplicaciones legítimas disponibles en la tienda Google Play como juegos móviles, aplicaciones de fondos de pantalla, servicios de restaurante, etc.
