Diễn viên đe dọa Iran được gọi là Mèo con trong nước đã được cho là do một chiến dịch di động mới giả mạo như một ứng dụng dịch thuật để phân phối một biến thể cập nhật của phần mềm độc hại Android được gọi là FurBall.
"Kể từ tháng 6 năm 2021, nó đã được phân phối dưới dạng ứng dụng dịch thuật thông qua một bản sao của một trang web của Iran cung cấp các bài báo, tạp chí và sách đã dịch", nhà nghiên cứu Lukas Stefanko của ESET cho biết trong một báo cáo được chia sẻ với The Hacker News.
Các bản cập nhật, trong khi vẫn giữ nguyên chức năng giám sát như các phiên bản trước, được thiết kế để tránh bị phát hiện bởi các giải pháp bảo mật, công ty an ninh mạng Slovakia cho biết thêm.
Mèo con trong nước, còn được gọi là APT-C-50, là một cụm hoạt động đe dọa của Iran trước đây đã được xác định là nhắm vào các cá nhân quan tâm với mục tiêu thu thập thông tin nhạy cảm từ các thiết bị di động bị xâm nhập. Nó được biết là hoạt động ít nhất từ năm 2016.
Một phân tích chiến thuật do Trend Micro thực hiện vào năm 2019 đã tiết lộ mối liên hệ tiềm năng của Mèo con trong nước với một nhóm khác có tên là Bouncing Golf, một chiến dịch gián điệp mạng nhắm vào các nước Trung Đông.
APT-C-50 chủ yếu chỉ ra "các công dân Iran có thể gây ra mối đe dọa đối với sự ổn định của chế độ Iran, bao gồm các nhà bất đồng chính kiến nội bộ, lực lượng đối lập, những người ủng hộ ISIS, thiểu số người Kurd ở Iran, v.v.", theo Check Point.
Các chiến dịch do nhóm thực hiện theo truyền thống dựa vào việc dụ dỗ các nạn nhân tiềm năng cài đặt một ứng dụng lừa đảo thông qua các vectơ tấn công khác nhau, bao gồm các trang blog của Iran, kênh Telegram và tin nhắn SMS.
Bất kể phương pháp được sử dụng là gì, các ứng dụng hoạt động như một đường dẫn để cung cấp một phần mềm độc hại được công ty an ninh mạng Israel đặt tên mã là FurBall, một phiên bản tùy chỉnh của KidLogger đi kèm với khả năng thu thập và lọc dữ liệu cá nhân từ các thiết bị.
Lần lặp lại mới nhất của chiến dịch được ESET phát hiện liên quan đến ứng dụng hoạt động dưới vỏ bọc của dịch vụ dịch thuật. Các bìa trước được sử dụng để che giấu hành vi độc hại trải dài trên các danh mục khác nhau như bảo mật, tin tức, trò chơi và ứng dụng hình nền.
Ứng dụng ("sarayemaghale.apk") được phân phối thông qua một trang web giả mạo bắt chước downloadmaghaleh [.] com, một trang web hợp pháp cung cấp các bài báo và sách được dịch từ tiếng Anh sang tiếng Ba Tư.
Điều đáng chú ý về phiên bản mới nhất là trong khi các chức năng phần mềm gián điệp cốt lõi được giữ lại, cấu phần phần mềm chỉ yêu cầu một quyền truy cập danh bạ, hạn chế truy cập tin nhắn SMS, vị trí thiết bị, nhật ký cuộc gọi và dữ liệu bảng tạm.
"Lý do có thể là mục đích của nó để ở dưới radar; mặt khác, chúng tôi cũng nghĩ rằng nó có thể báo hiệu nó chỉ là giai đoạn trước của một cuộc tấn công lừa đảo bằng giáo được thực hiện thông qua tin nhắn văn bản, "Stefanko chỉ ra.
Bất chấp khuyết điểm này, phần mềm độc hại FurBall, ở dạng hiện tại, có thể truy xuất các lệnh từ máy chủ từ xa cho phép nó thu thập danh bạ, tệp từ bộ nhớ ngoài, danh sách các ứng dụng đã cài đặt, siêu dữ liệu hệ thống cơ bản và tài khoản người dùng được đồng bộ hóa.
Mặc dù vậy, việc giảm chức năng ứng dụng đang hoạt động, mẫu này còn nổi bật hơn trong việc triển khai sơ đồ xáo trộn mã cơ bản được coi là một nỗ lực để vượt qua các rào cản bảo mật.
"Chiến dịch Mèo con trong nước vẫn đang hoạt động, sử dụng các trang web sao chép để nhắm vào công dân Iran", ông Stefanko nói. "Mục tiêu của nhà điều hành đã thay đổi một chút từ việc phân phối phần mềm gián điệp Android đầy đủ tính năng sang một biến thể nhẹ hơn."