«بچه‌گربه‌های اهلی» کمپینی برای جاسوسی از کاربران ایرانی

صفحه جعلی جاسوس‌افزار FurBall

گروه هکری موسوم به (APT-C-50) کمیپنی برای جاسوسی از کاربرانی ایرانی به راه انداخته‌ که شرکت امنیتی (ESET) از آن با عنوان کمپین «بچه‌گربه‌های اهلی» (Domestic Kitten) یاد کرده است.

به گفته محققان شرکت (ESET)، هکرها نسخه تازه‌ای از بدافزار (FurBall) را در پوشش یک برنامه ترجمه انگلیسی به فارسی، در میان کاربران ایرانی توزیع کرده‌اند که هدف از آن جاسوسی از دستگاه‌های اندرویدی است. این برنامه آلوده از ماه ژوئن سال ۲۰۲۱ میلادی، تحت عنوان یک مترجم ارائه دهنده مقاله، مجله و کتاب‌های ترجمه شده از یک وبسایت جعلی به اشتراک گذاشته شده است. این تارنما، مشابه یکی از وبسایت‌های ایرانی فعال است. اگرچه این برنامه دارای لوگوی (Google Play) است، اما این فروشگاه ارائه دهنده آن نیست و فایل نصبی برنامه مستقیما از سرور هکرها (VirusTotal) برروی دستگاه قربانی بارگیری می‌شود.

نسخه جاسازی شده (FurBall) در این برنامه مترجم آلوده از نظر عملکرد تفاوت چندانی با نسخه‌های پیشین این بدافزار ندارد، اما هکرها در نسخه تازه، نام کلاس‌ها، روش‌ها، رشته‌ها، گزارش‌ها و آدرس‌های سرور بدافزار را قدری مبهم‌سازی کرده و تغییرات کوچکی هم در بخش مربوط به فرمان و کنترل (C&C) آن ایجاد کرده‌اند تا در حد امکان این بدافزار را از دید برنامه های امنیتی و حفاظتی مخفی کنند. با این همه، آنتی ویروس (ESET Internet Security) کماکان آن را تحت عنوان (Android/Spy.Agent.BWS) شناسایی می‌کند.

اگرچه تمامی امکانان جاسوسی این بدافزار در حالت پیشفرض فعال نیست و در ابتدای از کاربران تنها مجوز نصب برنامه تقاضا می‌شود، که احتمالا برای عدم ایجاد شک نسبت به این برنامه‌است، اما بعدتر، با گسترش مجوزها، هکرها می‌تواند طیف وسیعی از امکانات جاسوسی، نظیر متن از کلیپ بورد، مکان دستگاه، پیامک ها، مخاطب، گزارش تماس، تماس های تلفنی ضبط شده، متن تمام اعلان‌ها از سایر برنامه‌ها، حساب های دستگاه، فهرست فایل های موجود در دستگاه، برنامه های در حال اجرا، فهرست برنامه های نصب شده و اطلاعات دستگاه را گردآوری کنند. (FurBall) همچنین قادر است که هر ده ثانیه یک درخواست (HTTP) برای سرور (C&C) هکرها ارسال و فیلم‌ها و عکس‌های ضبط شده، فهرست مخاطبان، داده‌های حافظه خارجی، لیست برنامه‌های نصب شده و بسیاری اطلاعات حساس دیگر را برای هکرها ارسال کند.

فعالیت های کمپین «بچه‌گربه‌های اهلی» مرتبط با گروه (APT-C-50) ابتدا در سال ۲۰۱۸ توسط شرکت امنیتی «چک‌پونیت» شناسایی شد. در گزارش این شرکت آمده بود که این کارزار از سال ۲۰۱۶ درحال جاسوسی سیار از گوشی‌های اندرویدی کاربران ایرانی است. محققان (Trend Micro) نیز مدتی بعد فعالیت‌های این کمپین را شناسایی و آن را تحت عنوان (Bouncing Golf) که با هدف جاسوسی از کاربران خاورمیانه‌ای راه اندازی شده، گزارش کردند. محققان (Qianxin) نیز در همین سال گزارش مشابهی را از کمپین بچه‌گربه‌های اهلی منتشر کرده و (360 Core Security) نیز در سال ۲۰۲۰ رد پای این کمپین را در حمله به گروه‌های مخالف دولت‌های مختلف در خاورمیانه شناسایی کرد. در سال ۲۰۲۱ «چک‌پونیت» باردیگر از این کمپین و بازیگران پشت پرده آن سخن گفت و حالا (ESET) می‌گوید که بدافزار (FurBall) احتمالا برگرفته از نسخه تجاری (KidLogger) است که کد‌های متن باز آن کماکان در وبسایت (Github) موجود است.

محققان (ESET) می‌گویند، کمپین بچه‌گربه‌های اهلی همین حالا نیز درحال جاسوسی از کاربران ایرانی بوده و این امکان وجود دارد که بازیگران پشت پرده آن قربانیان را از طریق پیام‌های متنی، مورد حمله نوع «فیشینگ نیزه‌ای» (spearphishing) قرار دهند.