Esta aplicación maliciosa para Android se distribuye a través de un sitio web falso que copia el diseño de un sitio legítimo que ofrece artículos y libros traducidos del inglés al persa.
El equipo de investigación de ESET recientemente identificó una nueva versión del malware para Android, FurBall, el cual se utiliza en una campaña de Domestic Kitten y tiene como objetivo monitorear por medio de los dispositivos móviles la actividad que realizan los usuarios. Desde el 2021 este malware se distribuye como una app de traducción mediante un sitio web falso, que imita un sitio legítimo, que ofrece artículos y libros traducidos.
Para la empresa de ciberseguridad, los puntos clave de la investigación son que la campaña Domestic Kitten sigue en curso e inició aproximadamente en el 2016, así como el descubrimiento de una nueva muestra ofuscada del malware para Android Furball utilizada en la campaña. Asimismo, destacan que esta se esparce utilizando un sitio falso que suplanta la identidad de otro legítimo.
“La nueva versión del malware para Android FurBall se utiliza en una campaña de Domestic Kitten, llevada adelante por el grupo de APT-C-50. Esta nueva versión cuenta con las mismas funcionalidades para espiar que las versiones anteriores y dado que la capacidad del malware no ha cambiado en esta variante, el objetivo principal de esta actualización parece ser evitar la detección por parte de soluciones de seguridad. Sin embargo, estas modificaciones no han tenido efecto en el software de ESET, ya que los productos de ESET detectan esta amenaza”, menciona Lukas Stefanko, Malware Researcher de ESET.
Le puede interesar: Bienvenido a la nueva Internet (de derecha)
De acuerdo con la muestra analizada por ESET, la amenaza solo solicita un permiso intrusivo a la víctima al momento de ser instalada, la cual es acceder a los contactos. La razón de esto podría ser su intención de permanecer bajo el radar; por otro lado, el equipo de investigación considera que podría indicar ser la fase anterior de un ataque de spearphishing realizado por medio de mensajes de texto.
Cabe resaltar, que si el actor de amenazas amplía los permisos de la aplicación, podría ser capaz de filtrar otro tipo de datos de los teléfonos afectados, como mensajes SMS, ubicación del dispositivo, llamadas telefónicas grabadas y más.
Esta aplicación maliciosa para Android se distribuye mediante un sitio web falso que copia el diseño de un sitio legítimo que ofrece artículos y libros traducidos del inglés al persa (downloadmaghaleh.com). Según la información de contacto del sitio web legítimo, este servicio se brinda desde Irán, lo que lleva a creer que el sitio web falso fue diseñado para atraer a usuarios.
Se cree que el objetivo de los atacantes con este sitio falso es ofrecer una aplicación para Android que es posible descargar después de hacer click en un botón que dice, en persa, “Descargar la aplicación”. Dicho botón tiene el logotipo de Google Play, pero la aplicación no está disponible en la tienda oficial de Google para Android; sino que se descarga directamente desde el servidor del atacante.
Dicha aplicación fue cargada a VirusTotal y desde ahí se activó una de las reglas YARA de ESET, lo que dio la oportunidad de analizarla. Con base a la última información recolectada, se estima que la aplicación ha estado disponible para descargar desde el 21 de junio de 2021.
“La campaña Domestic Kitten todavía está activa y utiliza falsos sitios web para dirigirse a los usuarios de la aplicación. El objetivo de los operadores detrás de esta campaña ha cambiado ligeramente y pasó de distribuir spyware para Android con todas las funciones a una variante más ligera. Solicita solo un permiso intrusivo, que es para acceder a los contactos, con lo cual probablemente no despierte demasiadas sospechas en las posibles víctimas durante el proceso de instalación. Esta también podría ser la primera etapa de recopilación de contactos a los que podría seguir el spearphishing a través de mensajes de texto. Además de reducir las funcionalidades de su aplicación, los creadores del malware intentaron disminuir la cantidad de detecciones mediante la implementación de un esquema de ofuscación de código simple para ocultar sus intenciones de las soluciones de seguridad para dispositivos móviles.”, concluye Stefanko de ESET.