- Les chercheurs d’ESET ont récemment identifié une nouvelle version du malware Android FurBall utilisée dans une campagne « Domestic Kitten ».
- Cette dernière remonte au moins à 2016 et est toujours active.
- Elle vise principalement les citoyens iraniens.
- Nous avons découvert un nouvel échantillon obfusqué de Furball pour Android
- Cet échantillon est diffusé à partir d’un faux site
- L’échantillon analysé dispose de fonctionnalité d’espionnage restreinte pour tenter d’échapper à toute détection.
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont récemment identifié une nouvelle version du malware Android FurBall. Cette version est utilisée dans une campagne nommée Domestic Kitten. Le groupe de pirates APT-C-50 opère des actions de surveillance visant des smartphones de citoyens iraniens. Depuis juin 2021, le malware est diffusé sous couvert d’une application de traduction par l’intermédiaire d’une copie d’un site web iranien fournissant des articles, des revues et des livres traduits. La campagne Domestic Kitten remonte au moins à 2016 et est toujours active.
Cette version de FurBall possède les mêmes fonctionnalités de surveillance que les versions précédentes. Comme la fonctionnalité de cette variante n’a pas changé, l’objectif principal de cette mise à jour semble être d’échapper aux logiciels de sécurité. Ces modifications n’ont cependant eu aucun effet sur les solutions ESET, qui ont détecté cette menace sous le nom de Android/Spy.Agent.BWS. FurBall,. Ce malware Android utilisé depuis le début de ces campagnes, a été créé à partir du stalkerware commercial KidLogger.
L’échantillon analysé ne demande qu’une seule permission intrusive ; celle d’accéder aux contacts. La raison pourrait être son objectif d’éviter d’être détecté, mais d’un autre côté, nous pensons également qu’il pourrait s’agir de la phase préliminaire d’une attaque d’hameçonnage ciblé menée par SMS. Si l’auteur de la menace élargit les autorisations de l’application, il pourrait être également possible d’exfiltrer d’autres types de données à partir des téléphones concernés, comme les SMS, la géolocalisation de l’appareil, les appels téléphoniques et bien plus encore.
« Cette application Android malveillante est diffusée via un faux site web imitant un site légitime qui propose des articles et des livres traduits de l’anglais au persan (downloadmaghaleh.com). D’après les coordonnées du site web légitime, ce service est proposé depuis l’Iran, ce qui nous amène à penser avec quasi-certitude que le faux site web cible des citoyens iraniens, » déclare Lukáš Štefanko, chercheur chez ESET qui a découvert le malware.
« Le but est de proposer une application Android à télécharger après avoir cliqué sur un bouton qui indique en persan « Télécharger l’application ». Le bouton porte le logo Google Play, mais cette application n’est pas disponible dans Google Play Store. Elle est téléchargée directement depuis le serveur de l’attaquant, » ajoute M. Štefanko.
Pour plus d’informations techniques sur Furball et Domestic Kitten, consultez l’article « Domestic Kitten campaign spying on Iranian citizens with new Furball malware » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - +33 01 55 89 08 88 - darina.j@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.