İranlı tehdit aktörü olarak bilinen yerli yavru kedi FurBall olarak bilinen bir Android kötü amaçlı yazılımının güncellenmiş bir çeşidini dağıtmak için bir çeviri uygulaması gibi görünen yeni bir mobil kampanyayla ilişkilendirildi.
ESET araştırmacısı Lukas Stefanko, The Hacker News ile paylaşılan bir raporda, “Haziran 2021’den bu yana, tercüme edilmiş makaleler, dergiler ve kitaplar sağlayan bir İran web sitesinin taklitçisi aracılığıyla bir çeviri uygulaması olarak dağıtıldı.” Dedi.
Slovak siber güvenlik firması, güncellemelerin önceki sürümlerle aynı gözetim işlevselliğini korurken, güvenlik çözümlerinin algılamasından kaçınmak için tasarlandığını da sözlerine ekledi.
APT-C-50 olarak da adlandırılan Yerli Yavru Kedi, daha önce güvenliği ihlal edilmiş mobil cihazlardan hassas bilgileri toplamak amacıyla ilgili kişileri hedef aldığı belirlenen İranlı bir tehdit faaliyet kümesidir. En az 2016’dan beri aktif olduğu biliniyor.
Trend Micro tarafından 2019’da yapılan bir taktik analiz, Yerli Yavru Kedi’nin Orta Doğu ülkelerini hedef alan bir siber casusluk kampanyası olan Bouncing Golf adlı başka bir grupla potansiyel bağlantılarını ortaya koyuyor.
Check Point’e göre APT-C-50, öncelikle “iç muhalifler, muhalefet güçleri, IŞİD savunucuları, İran’daki Kürt azınlık ve daha fazlası dahil olmak üzere İran rejiminin istikrarına tehdit oluşturabilecek İran vatandaşlarını” seçti.
Grup tarafından yürütülen kampanyalar, geleneksel olarak, İran blog siteleri, Telegram kanalları ve SMS mesajları dahil olmak üzere farklı saldırı vektörleri aracılığıyla potansiyel kurbanları sahte bir uygulama yüklemeye çekmeye dayanıyordu.
Kullanılan yöntemden bağımsız olarak, uygulamalar, KidLogger’ın cihazlardan kişisel verileri toplama ve sızdırma yetenekleriyle gelen özelleştirilmiş bir sürümü olan Furball adlı İsrailli siber güvenlik şirketi tarafından kodlanan bir kötü amaçlı yazılım parçasını sunmak için bir kanal görevi görür.
ESET tarafından ortaya çıkarılan kampanyanın en son yinelemesi, bir çeviri hizmeti kisvesi altında çalışan uygulamayı içeriyor. Kötü niyetli davranışları gizlemek için kullanılan önceki kapaklar, güvenlik, haberler, oyunlar ve duvar kağıdı uygulamaları gibi farklı kategorileri kapsar.
Uygulama (“sarayemaghale.apk”), downloadmaghaleh’i taklit eden sahte bir web sitesi aracılığıyla teslim edilir[.]com, İngilizce’den Farsça’ya çevrilmiş makaleler ve kitaplar sağlayan meşru bir sitedir.
En son sürümle ilgili dikkate değer olan şey, temel casus yazılım işlevleri korunurken, yapıtın kişilere erişmek için yalnızca bir izin istemesi ve SMS mesajlarına, cihaz konumuna, arama günlüklerine ve pano verilerine erişmesini sınırlamasıdır.
Stefanko, “Nedeni radarın altında kalma amacı olabilir; öte yandan, bunun kısa mesajlarla gerçekleştirilen bir mızraklı oltalama saldırısının sadece önceki aşaması olduğuna işaret edebileceğini düşünüyoruz.”
Bu dezavantaja rağmen, Furball kötü amaçlı yazılımı, mevcut haliyle, kişileri, harici depolamadaki dosyaları, yüklü uygulamaların listesini, temel sistem meta verilerini ve senkronize edilmiş kullanıcı hesaplarını toplamasına izin veren uzak bir sunucudan komutlar alabilir.
Etkin uygulama işlevselliğindeki azalmaya rağmen, örnek ayrıca güvenlik engellerini aşma girişimi olarak görülen bir temel kod gizleme şeması uygulamak için öne çıkıyor.
Stefanko, “Yerli Kedi Yavrusu kampanyası, İran vatandaşlarını hedef almak için taklit web sitelerini kullanan hala aktiftir.” Dedi. “Operatörün hedefi, tam özellikli Android casus yazılımını dağıtmaktan daha hafif bir varyanta doğru biraz değişti.”