Por estrategiaynegocios.net
Una nueva versión del “malware” para Android, FurBall, que se utiliza en una campaña de Domestic Kitten cuyo objetivo es monitorear a través de los dispositivos móviles la actividad que realizan los usuarios, fue detectada recientemente por el equipo de investigación de ESET.
Desde junio de 2021 este “malware” se distribuye como una App de traducción a través de un sitio web falso, que imita un sitio legítimo, que ofrece artículos y libros traducidos.
La nueva versión del malware para Android FurBall se utiliza en una campaña de Domestic Kitten, llevada adelante por el grupo de APT-C-50 y cuenta con las mismas funcionalidades para espiar que las versiones anteriores.
“El objetivo principal de esta actualización parece ser evitar la detección por parte soluciones de seguridad”, menciona Lukas Stefanko, Malware Researcher de ESET.
Entérese: Tres consejos para mantener alejados a los estafadores románticos
La muestra analizada solicita solo un permiso intrusivo a la víctima al momento de ser instalada: acceder a los contactos. La razón podría ser su intención de permanecer bajo el radar; por otro lado, el equipo de investigación cree que podría indicar ser la fase anterior de un ataque de spearphishing realizado a través de mensajes de texto.
Si el actor de amenazas amplía los permisos de la aplicación, también sería capaz de filtrar otro tipo de datos de los teléfonos afectados, como mensajes SMS, ubicación del dispositivo, llamadas telefónicas grabadas y mucho más.
Esta aplicación maliciosa para Android se distribuye a través de un sitio web falso que copia el diseño de un sitio legítimo que ofrece artículos y libros traducidos del inglés al persa (downloadmaghaleh.com).
Según la información de contacto del sitio web legítimo, este servicio se brinda desde Irán, lo que lleva a creer que el sitio web falso fue diseñado para atraer a usuarios.
Puede leer: Uno de cada cinco usuarios de redes sociales será atacado en las próximas 24 horas
El propósito de los atacantes con este falso sitio es ofrecer una aplicación para Android que es posible descargar después de hacer clic en un botón que dice, en persa, “Descargar la aplicación”.
El botón tiene el logotipo de Google Play, pero la aplicación no está disponible en la tienda oficial de Google para Android; sino que se descarga directamente desde el servidor del atacante. La aplicación fue cargada a VirusTotal y desde ahí se activó una de las reglas YARA de ESET, lo que dio la oportunidad de analizarla.
