ورژن جدید جاسوس افزار اندرویدی Furball شهروندان ایرانی را هدف قرار داده است.
جاسوس افزار مذکور در یک عملیات نظارتی وسیع استفاده شده است که حداقل از سال 2016 در حال انجام است.
جدیدترین ورژن بدافزار Furball توسط محققین ESET بررسی و آنالیز شده و گزارش داده اند که بسیار به ورژن قبلی شباهت داشته اما در حال حاضر با مبهم سازی و به روز رسانی های C2 نیز همراه است.
جزییات Furball جدید
این ورژن جدید از طریق وبسایت های جعلی ای که از لحاظ ظاهری شباهت زیادی به وبسایت اصلی دارند، توزیع می شود.
در یکی از مواردی که توسط ESET بررسی شده است، بدافزار روی یک سایت جعلی به صورت سرویس ترجمه متن انگلیسی به فارسی قرار دارد.
در این سایت جعلی، یک دکمه Google Play وجود دارد که ظاهرا به کاربر اجازه دانلود نسخه اندرویدی مترجم را می دهد اما در عوض به اپ استور هدایت شده و فایلی با عنوان sarayemaghale.apk دریافت می شود.
بسته به مجوزهای موجود در فایل AndroidManifest.xml، بدافزار قادر به سرقت اطلاعات زیر خواهد بود:
Clipboard contents
Device location
SMS messages
Contact list
Call logs
Record calls
Content of notifications
Installed and running apps
Device info
اما ESET می گوید نمونه ای که آنالیز کرده است قابلیت های محدودی داشته و فقط درخواست دسترسی به مخاطبین و محل ذخیره رسانه ها را می دهد.
این مجوزها در عین معمول بودن، اگر مورد سواستفاده قرار بگیرند، قدرتمند خواهد بود و همزمان شخص هدف به برنامه شکی نخواهد کرد، این یکی از دلایلی است که این گروه هکری قابلیت های این بدافزار را محدودترکرده اند.
اگر لازم باشد، بدافزار می تواند دستوراتی را برای اجرا به صورت مستقیم از سرور C2 دریافت کند، اتصال بین این دو از طریق درخواست HTTP هر 10 ثانیه یکبار برقرار می شود.
از نظر لایه مبهم جدید، ESET می گوید این لایه شامل کلاس نامها، رشته ها، لاگ ها و مسیرهای URL سرور است و تلاش میکند تا از شناسایی توسط آنتی ویروسها فرار کند.
ورژن قبلی Furball ویژگی ابهام و مخفی بودن را نداشته است و طبق گزارش VirusTotal توسط 28 موتور آنتی ویروس قابل شناسایی بوده است در حالیکه که این ورژن جدید تنها توسط 4 آنتی ویروس شناسایی شده است.
