伊朗黑客组织分发恶意移动APP，以监控不同政见者和反对派

最近的网络安全观察中，伊朗黑客组织“国内小猫”被曝进行了一项新的移动应用恶意活动，该活动伪装成翻译应用程序，以分发名为 FurBall 的 Android 恶意软件的更新变体。

该恶意软件所属的APT黑客组织“国内小猫”，也称为 APT-C-50，是一个伊朗黑客组织，至少从2016年开始频繁活动，之前已被确定为针对特定人群，从受感染的移动设备中获取敏感信息。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，网络安全研究机构的一项战术分析中显示，国内小猫与另一个名为Bouncing Golf的组织有潜在联系，该组织是针对中东国家的网络间谍团伙。

APT-C-50 主要挑选出可能对伊朗政权的稳定构成威胁的伊朗公民，包括内部持不同政见者、反对派力量、伊斯兰国的拥护者、伊朗的库尔德少数民族等等。该组织开展的活动传统上依赖于引诱潜在受害者通过不同的攻击媒介安装流氓应用程序，包括伊朗博客网站、电报频道和 SMS 消息。

无论采用何种方法，这些应用程序都充当了传播恶意软件的渠道，该恶意软件的代号为 FurBall，这是 KidLogger 的定制版本，具有从设备收集和窃取个人数据的功能。

该恶意软件的最新迭代版本涉及以翻译服务为幌子运行的应用程序。以前用于隐藏恶意行为的封面涵盖安全、新闻、游戏和壁纸应用等不同类别。

该应用程序（sarayemaghale.apk）是通过一个模仿 downloadmaghaleh[.]com 的山寨网站提供的，该网站是一个提供从英语翻译成波斯语的文章和书籍的合法网站。最新版本值得注意的是，虽然保留了核心间谍软件功能，但仅请求访问联系人的一项权限，从而限制其访问 SMS 消息、设备位置、通话记录和剪贴板数据。

原因可能是它的目的是保持低调，另一方面，我们也认为这可能表明它只是通过短信进行的鱼叉式网络钓鱼攻击的前一个阶段。

尽管有这个限制，FurBall 恶意软件以其目前的形式可以从远程服务器检索命令，从而允许它收集联系人、来自外部存储的文件、已安装应用程序列表、基本系统元数据和同步的用户帐户。