گروهی از پژوهشگران امنیتی در گزارشی تکاندهنده از تلاش برای نظارت روی گوشی ایرانیها ازطریق بدافزار خبر دادهاند. این بدافزار در قالب اپلیکیشن ترجمهی انگلیسی به فارسی توزیع شده است.
پژوهشگران امنیتی شرکت ESET موفق شدهاند نسخهی جدید بدافزار اندرویدی FurBall را شناسایی کنند که بهادعای آنها، گروه هکری APT-C-50 در کمپینی با عنوان Domestic Kitten (بچهگربهی اهلی) از آن استفاده کرده است. کمپین Domestic Kitten پیشتر بهدلیل انجام عملیات نظارت موبایلی روی شهروندان ایران خبرساز شده بود و بهنوشتهی خبرگزاری WeLiveSecurity، نسخهی جدید FurBall نیز مجدداً ایرانیها را هدف قرار داده است.
پژوهشگران میگویند بدافزار FurBall از ژوئن ۲۰۲۱ (خرداد و تیر ۱۴۰۰) در قالب اپلیکیشن ترجمه ازطریق نسخهی کپیشدهی یکی از وبسایتهای ایرانی توزیع شده است. وبسایت اصلی که دفتر مرکزیاش در میدان انقلاب تهران قرار دارد، «مقالات و مجلات و کتابهای ترجمهشده» به کاربرانش ارائه میدهد. اپلیکیشن حاوی بدافزار FurBall در وبسایت VirusTotal آپلود شد و پژوهشگران امنیتی توانستند ازطریق ابزارهایی ویژه شروع به تجزیهوتحلیل آن کنند.
براساس ادعای WeLiveSecurity، نسخهی جدید بدافزار FurBall همچون نسخههای قبلی با هدف نظارت بر دستگاه کاربران طراحی شده است؛ اما توسعهدهندگان در آن تغییراتی اعمال کردهاند تا شناساییاش به دست پژوهشگران سختتر شود. گفته میشود با وجود اعمال تغییرات، سرویس آنتیویروس ESET همچنان توانسته است اپلیکیشن حاوی FurBall را بهعنوان ویروس تشخیص دهد.
اپلیکیشن بررسیشدهی پژوهشگران صرفاً خواستار دسترسی به فهرست مخاطبان گوشی بوده است؛ سیاستی که بهنظر میرسد با هدف شناسایینشدن بدافزار اتخاذ شده است. پژوهشگران میگویند که ممکن است این ویژگیِ نسخهی جدید FurBall مرحلهی اول حملهای گستردهتر ازطریق پیامک باشد.
اگر توسعهدهندهی بدافزار مجوزهای اپلیکیشن را گسترش دهد، امکان استخراج انواع دیگری از دادهها نظیر متن کلیپبورد، متن پیامک، محل (لوکیشن) دستگاه، فهرست تماسها، تماسهای صوتیِ ضبطشده، متن تمامی نوتیفیکیشنهای سایر اپلیکیشنها، حسابهای کاربری موجود در دستگاه، فهرست تمام فایلهای روی دستگاه، اپلیکیشنهای در حال اجرا، فهرست اپلیکیشنهای نصبشده و اطلاعات گوشی فراهم میشود.
نکتهی نگرانکنندهتر این است که درصورت گسترش مجوزهای بدافزار، اپلیکیشن میتواند دستورهایی برای ثبت عکس و ضبط ویدئو دریافت کند. عکسها و ویدئوها سپس مستقیماً در سرور آپلود میشوند. پژوهشگران میگویند نسخهای که کاربران ایرانی نصب کردهاند، همچنان امکان دریافت دستور از سرور را دارد؛ اما در حالت عادی صرفاً میتواند کارهای محدودی انجام دهد: استخراج فهرست مخاطبان، دسترسی به فایلهای موجود در حافظهی ذخیرهسازی خارجی، دسترسی به فهرست اپلیکیشنهای نصبشده، کسب اطلاعات ابتدایی دربارهی گوشی و فهرست حسابهای کاربری موجود در دستگاه.
بدافزار FurBall پس از نصبشدن روی گوشی، هر ۱۰ ثانیه یک بار با سرورش ارتباط میگیرد و خواستار دریافت دستور میشود. کارشناسان میگویند نسخهی جدید FurBall بهجز تغییراتی در کد، هیچ قابلیت جدیدی درمقایسهبا نسخههای قبلی ندارد.
گروه هکری APT-C-50 در قالب کمپین Domestic Kitten از حداقل سال ۲۰۱۶ تاکنون، در تلاش بوده است روی گوشی هوشمند کاربران ایرانی نظارت کند. در سال ۲۰۱۸، مؤسسهی Check Point گزارشی مهم با محوریت این کمپین منتشر کرد. یک سال بعد، مؤسسهی Trend Micro بدافزار مشابهی را شناسایی کرد که خاورمیانه را در قالب کمپینی به نام Bouncing Golf هدف قرار میداد.
در آن زمان، گفته شد کمپین یادشده ارتباطاتی با Domestic Kitten داشته است. مدتی بعد در همان سال، Qianxin مدعی شد کمپین Domestic Kitten باردیگر در حال حمله به کاربران ایرانی است. در سالهای ۲۰۲۰ و ۲۰۲۱ نیز، گزارشهای جداگانهای دربارهی بدافزار FurBall منتشر شد.
FurBall بدافزاری اندرویدی است که از آغاز اولین حملات در کمپین Domestic Kitten استفاده و براساس ابزار تجاری KidLogger ساخته شده است. گفته میشود توسعهدهندگان FurBall از نسخهی متنباز KidLogger که هفت سال پیش دردسترس قرار داشت الهام گرفتهاند.