Domestic Kitten 活动使用新的 FurBall 恶意软件监视伊朗公民

概述

ESET 研究人员最近在 APT-C-50 组织发起的 Domestic Kitten 活动中发现了新版本的 Android 恶意软件 FurBall。众所周知，Domestic Kitten 活动对伊朗公民进行移动监视行动，而这个新的 FurBall 版本在其目标上没有什么不同。自 2021 年 6 月以来，它一直作为翻译应用程序通过一个提供翻译文章、期刊和书籍的伊朗网站的山寨版进行分发。恶意应用程序被上传到 VirusTotal，在那里它触发了我们的 YARA 规则之一（用于分类和识别恶意软件样本），这让我们有机会对其进行分析。

此版本的 FurBall 具有与以前版本相同的监视功能；然而，威胁参与者稍微混淆了类和方法名称、字符串、日志和服务器 URI。此更新还需要对 C&C 服务器进行小的更改——准确地说，是服务器端 PHP 脚本的名称。由于此变体的功能没有改变，此次更新的主要目的似乎是避免被安全软件检测到。但是，这些修改对 ESET 软件没有影响；ESET 产品将此威胁检测为 Android/Spy.Agent.BWS。

分析的样本只请求一个侵入性权限——访问联系人。原因可能是它的目标是保持低调；另一方面，我们也认为这可能表明它只是前一个阶段，即通过短信进行的鱼叉式网络钓鱼攻击。如果威胁行为者扩展应用程序权限，它还能够从受影响的手机中泄露其他类型的数据，例如短信、设备位置、通话录音等等。

要点

Domestic Kitten 活动正在进行中，至少可以追溯到 2016 年。
它主要针对伊朗公民。
我们发现了一个新的、经过混淆的 Android Furball 样本用于该活动。
它是使用模仿网站分发的。
分析的样本只启用了有限的间谍功能，以保持在雷达之下。

背景

根据Check Point在 2018 年的报告，自 2016 年以来，APT-C-50 组织在其 Domestic Kitten 活动中一直在对伊朗公民进行移动监视行动。2019 年，趋势科技发现了一个可能与 Domestic Kitten 有关的恶意活动，以中东为目标，将活动命名为 Bouncing Golf。不久之后，同年，千信又报道了一场针对伊朗的 Domestic Kitten 运动。2020年，360核心安全披露了Domestic Kitten针对中东反政府组织的监控活动。最后一份已知的公开报告是Check Point于 2021 年发布的。

FurBall——自这些活动开始以来在该行动中使用的 Android 恶意软件——是基于商业跟踪软件工具 KidLogger 创建的。正如Check Point指出的那样，FurBall 开发人员似乎受到了七年前 Github 上可用的开源版本的启发。

危害

这个恶意 Android 应用程序通过一个模仿合法网站的虚假网站提供，该网站提供从英语翻译成波斯语的文章和书籍 ( downloadmaghaleh.com )。根据合法网站的联系信息，他们从伊朗提供这项服务，这让我们很有把握地认为，山寨网站针对的是伊朗公民。模仿者的目的是在点击一个用波斯语写着“下载应用程序”的按钮后提供一个 Android 应用程序供下载。该按钮带有 Google Play 徽标，但Google Play 商店不提供该应用程序；它是直接从攻击者的服务器下载的。该应用程序已上传到 VirusTotal，在那里它触发了我们的 YARA 规则之一。

在图 1 中，您可以看到假网站和合法网站的比较。

假冒网站（左）与合法网站（右）

根据假网站APK下载打开目录中的最后修改信息（见图2），我们可以推断该应用至少从2021年6月21日开始可供下载。

分析

尽管所有间谍软件功能都像在其以前的版本中一样实现，但此示例并不是完全正常工作的恶意软件。然而，并不是所有的间谍软件功能都可以执行，因为该应用程序受到其AndroidManifest.xml中定义的权限的限制。如果威胁行为者扩展了应用程序权限，它也能够进行渗透：

来自剪贴板的文本，
设备位置，
短信，
联系人，
通话记录，
电话录音，
来自其他应用程序的所有通知的文本，
设备帐户，
设备上的文件列表，
运行应用程序，
已安装应用程序列表，以及
设备信息。

它还可以接收拍照和录制视频的命令，并将结果上传到 C&C 服务器。从山寨网站下载的 Furball 变体仍然可以接收来自其 C&C 的命令；但是，它只能执行以下功能：

泄露联系人列表，
从外部存储获取可访问的文件，
列出已安装的应用程序，
获取有关设备的基本信息，以及
获取设备帐户（与设备同步的用户帐户列表）。

图 3 显示了确实需要用户接受的权限请求。这些权限可能不会给人以间谍软件应用程序的印象，尤其是考虑到它伪装成翻译应用程序。

请求的权限列表

安装后，Furball 每 10 秒向其 C&C 服务器发出一次 HTTP 请求，要求执行命令，如图 4 的上面板所示。下面板描绘了来自C&C 服务器。

与 C&C 服务器的通信

这些最新样本没有实现任何新功能，只是代码应用了简单的混淆处理。可以在类名、方法名、一些字符串、日志和服务器 URI 路径（这也需要在后端进行小的更改）中发现混淆。图 5 比较了旧版 Furball 和新版的类名，并进行了混淆处理。

旧版本（左）和新版本（右）的类名比较

图 6 和图 7 显示了早期的sendPost和新的sndPst函数，突出显示了这种混淆所需要的更改。

旧的非混淆版本代码

结论

Domestic Kitten 活动仍然活跃，使用模仿网站来针对伊朗公民。如上所述，运营商的目标已从分发功能齐全的 Android 间谍软件略微改变为较轻的变体。它只请求一个侵入性许可——访问联系人——最有可能在安装过程中保持低调，不会引起潜在受害者的怀疑。这也可能是收集联系人的第一阶段，随后可以通过短信进行鱼叉式网络钓鱼。

除了减少其活跃的应用程序功能外，恶意软件编写者还试图通过实施简单的代码混淆方案来向移动安全软件隐藏其意图，从而减少检测次数。