Campanhas atribuídas ao APT-C-50 distribuíram aplicativos maliciosos para coletar SMS, registros de chamadas, mídia, localização e notificações de vítimas ligadas a dissidência, minorias e grupos políticos.
| Componente | Malware móvel FurBall, usado na operação Domestic Kitten e associado ao APT-C-50. |
| Vetor | Instalação induzida de aplicativos maliciosos por SMS com link, site de blog iraniano e possível compartilhamento em canal do Telegram. |
| Impacto | Coleta de identificadores do dispositivo, SMS, registros de chamadas, áudio, arquivos de mídia, lista de aplicativos, localização, arquivos do armazenamento externo e notificações. |
| Prioridade | Caçar instalações de aplicativos fora de lojas confiáveis, permissões excessivas em dispositivos móveis e comunicação com infraestrutura C2 defangada associada a firmwaresystemupdate[.]com. |
| Campanhas | A operação teria começado em 2017, com 10 campanhas distintas, mais de 1.200 indivíduos visados e mais de 600 infecções bem-sucedidas. |
| Infraestrutura | Uso recorrente do C2 defangado hxxp://www[.]firmwaresystemupdate[.]com, com separação de campanhas por segmentos de URI, incluindo hass e mmh. |
A operação Domestic Kitten descreve uma atividade de vigilância móvel atribuída ao APT-C-50, com foco em cidadãos iranianos e outros indivíduos considerados sensíveis para a estabilidade do regime iraniano. O conjunto de alvos citado inclui dissidentes internos, forças de oposição, apoiadores do ISIS, integrantes da minoria curda no Irã e vítimas identificadas em múltiplas regiões fora do país. O volume observado é expressivo para uma campanha móvel: desde 2017, foram descritas 10 campanhas, mais de 1.200 pessoas visadas e mais de 600 infecções confirmadas, com quatro campanhas ainda ativas no momento da análise original e a mais recente iniciada em novembro de 2020.
O malware central da operação é chamado FurBall. Ele é entregue como aplicativo aparentemente legítimo e usa coberturas diferentes para reduzir a suspeita do usuário durante a instalação. Entre as iscas citadas estão uma suposta aplicação relacionada ao restaurante Mohsen, em Teerã, um aplicativo com temática de apoiadores do ISIS e uma versão recompilada de um aplicativo chamado Exotic Flowers. O objetivo técnico não é apenas acesso inicial ao aparelho, mas vigilância persistente: o código busca inicialização automática, comunicação periódica com servidor de comando e controle, coleta de dados locais e monitoramento contínuo de conteúdo sensível gerado ou recebido pelo dispositivo.
A campanha deve ser tratada como inteligência de ameaças e malware móvel, não como incidente genérico de phishing. O elemento crítico para equipes de defesa é a combinação de engenharia social, permissões móveis abusivas, persistência por evento de inicialização e exfiltração recorrente de dados pessoais e operacionais. Em ambientes corporativos, o risco cresce quando usuários-alvo utilizam o mesmo dispositivo para comunicações pessoais, mensageria, chamadas, fotos, arquivos de trabalho ou acesso a contas protegidas por SMS e notificações.
A cadeia começa com a tentativa de convencer a vítima a instalar um aplicativo malicioso. Os vetores observados variam por campanha: mensagens SMS contendo link para download, hospedagem do payload em um blog iraniano e provável distribuição por canal do Telegram. Essa diversidade reduz a dependência de um único ponto de entrega e permite adaptar a isca ao público visado. O contexto não descreve exploração de vulnerabilidade no sistema operacional; a condição principal é a instalação do aplicativo pela vítima, o que coloca a defesa no campo de controle de aplicativos, reputação de origem, permissões e telemetria móvel.
Depois da execução, FurBall busca iniciar automaticamente com o dispositivo. O malware registra lógica associada ao evento BOOT_COMPLETED e aciona startService para carregar os componentes necessários ao seu funcionamento. Esse comportamento é relevante para hunting porque transforma uma instalação pontual em presença recorrente após reinicialização. Em paralelo, o código inicializa um objeto de configuração com endereço de C2, endereço C2 de contingência, flags de funcionalidade e frequência de consulta por comandos. Esse desenho permite que o operador ajuste comportamento sem depender de nova instalação, desde que o dispositivo mantenha comunicação com a infraestrutura.
A comunicação com comando e controle inclui threads dedicadas ao envio de mídia e à manutenção de atividade. A frequência padrão descrita para envio de arquivos de mídia, como vídeos, fotos e gravações de chamadas, é de 20 segundos. Outras threads se comunicam com /answer.php, possivelmente para informar quais dispositivos estão ativos. O gerenciador de comandos consulta /get-function.php e interpreta comandos delimitados por separadores próprios. O detalhe importante para defesa é que a comunicação apresenta rotas HTTP específicas, periodicidade curta e funções separadas entre presença, consulta de tarefas e transferência de dados.
A coleta local ocorre em camadas. Na inicialização, FurBall reúne dados do dispositivo e depois ativa componentes adicionais, incluindo monitor de área de transferência e coleta de informações sobre a atividade de aplicativo em primeiro plano. O malware também usa um serviço baseado em NotificationListenerService, o que amplia o acesso ao conteúdo de notificações recebidas pelo aparelho. Esse ponto é especialmente sensível porque notificações podem expor mensagens, códigos de autenticação, nomes de contatos, alertas de aplicativos bancários, conteúdo de mensageria e eventos de contas corporativas, mesmo quando a aplicação original não é aberta diretamente.
A superfície afetada é formada por dispositivos móveis em que a vítima aceita instalar o aplicativo malicioso e concede as permissões necessárias para as capacidades de vigilância. O contexto técnico aponta para APIs e eventos de ambiente Android, como BOOT_COMPLETED, startService e NotificationListenerService, além de acesso ao armazenamento externo, microfone, registros de chamadas, SMS, mídia e localização. Assim, a exposição não depende apenas do binário malicioso estar presente; ela também depende do conjunto de permissões efetivamente autorizado e da capacidade do aplicativo de permanecer ativo após reinicializações.
Os alvos descritos estão concentrados em perfis de interesse político e social, mas vítimas foram identificadas em países como Irã, Estados Unidos, Reino Unido, Paquistão, Afeganistão e Turquia, entre outros. Para organizações, isso significa que a análise não deve ficar limitada à geografia do usuário. Funcionários, pesquisadores, jornalistas, ativistas, membros de comunidades da diáspora, equipes de relações governamentais e pessoas com contatos em regiões sensíveis podem ser expostos mesmo fora do território iraniano.
A infraestrutura observada reutiliza o domínio C2 defangado www[.]firmwaresystemupdate[.]com, já associado à operação em análises anteriores. As campanhas são diferenciadas por segmentos de URI no mesmo servidor, como hass na campanha mais recente citada. Dois IPs foram descritos como possivelmente usados para enviar instruções ao servidor: 94[.]182[.]215[.]98 e 188[.]158[.]60[.]100, ambos localizados no Irã conforme a informação contextual recebida. Esses endereços devem ser tratados como pistas de investigação, não como lista completa de infraestrutura.
- Dispositivos móveis com aplicativos instalados por link de SMS, blog ou canal de mensageria fora de fluxo corporativo controlado.
- Aplicativos com cobertura de restaurante, conteúdo ideológico, flores ou temas aparentemente benignos, mas com permissões incompatíveis com a função apresentada.
- Ambientes em que SMS, chamadas, mídia local, armazenamento externo, notificações e localização sejam dados sensíveis para o usuário ou para a organização.
- Tráfego HTTP para domínio C2 defangado
www[.]firmwaresystemupdate[.]come caminhos de campanha separados por URI.
A caça deve começar por inventário de aplicativos móveis e origem de instalação. Em plataformas com MDM ou MTD, priorize aplicativos instalados fora de lojas aprovadas, pacotes com nomes ou ícones incompatíveis com permissões concedidas e apps que solicitam acesso a SMS, microfone, armazenamento, localização, notificações e registros de chamadas sem justificativa funcional. A presença de uma capa aparentemente comum não reduz o risco; pelo contrário, a operação utiliza disfarces variados justamente para mascarar o objetivo de vigilância.
No endpoint móvel, sinais relevantes incluem registro para execução após inicialização, serviços persistentes, acesso frequente a mídia, leitura de notificações e atividade de rede periódica. A frequência de envio de mídia descrita, com padrão de 20 segundos, pode gerar volume incomum de conexões e upload para o mesmo host. Em telemetria de rede, procure padrões repetidos para rotas como /answer.php e /get-function.php, sempre considerando que os indicadores devem estar defangados em relatórios e que a infraestrutura pode mudar ao longo da campanha.
Em investigações de identidade e resposta a incidente, a coleta de notificações e SMS exige atenção especial. Se um dispositivo infectado recebeu códigos de autenticação, alertas de login, mensagens de recuperação de conta ou notificações de aplicativos corporativos, a contenção precisa ir além da remoção do app. É necessário revisar sessões ativas, eventos de autenticação, alterações de senha, aprovações de MFA e acessos a contas associadas ao aparelho. O contexto sustenta vigilância e coleta de dados do dispositivo, mas não confirma comprometimento de cada serviço conectado; a análise deve verificar evidências antes de concluir abuso de credenciais.
O conjunto de hashes presente no material original indica múltiplas amostras associadas à operação, mas a defesa deve evitar depender exclusivamente de correspondência estática. Como o malware usa coberturas variadas e deriva de código de software de controle parental comercial, a detecção comportamental tende a ser mais resiliente: persistência por inicialização, permissões sensíveis combinadas, comunicação com C2, coleta de mídia, leitura de notificações e monitoramento de área de transferência são sinais mais úteis para ambientes com diversidade de amostras.
- Aplicativos móveis com permissão para SMS, chamadas, microfone, armazenamento, localização e notificações sem necessidade clara.
- Serviços iniciados após
BOOT_COMPLETEDe execução contínua de componentes em segundo plano. - Conexões recorrentes para
www[.]firmwaresystemupdate[.]com, especialmente com caminhos semelhantes a/answer.phpe/get-function.php. - Upload periódico de fotos, vídeos, gravações ou outros arquivos de mídia para destino externo.
- Acesso à área de transferência e observação de aplicativo em primeiro plano por processos sem relação com produtividade ou administração autorizada.
A resposta deve priorizar contenção do dispositivo e preservação de evidências. Para aparelhos corporativos, remova ou isole dispositivos suspeitos da rede gerenciada, colete telemetria por MDM ou solução móvel de defesa e registre nome do pacote, permissões, origem de instalação, horários de execução e destinos de rede. A simples desinstalação pode eliminar evidências úteis; em casos de alto risco, preserve artefatos antes da limpeza, respeitando cadeia de custódia e políticas internas.
A mitigação preventiva passa por bloqueio de instalação fora de fontes aprovadas, revisão de políticas de permissões sensíveis e detecção de aplicativos que abusam de NotificationListenerService. Usuários de grupos de risco devem receber controles mais rigorosos para links recebidos por SMS e mensageria, mas a medida técnica mais importante é impedir que aplicativos desconhecidos acessem dados que não correspondem à sua função. Uma aplicação de restaurante, flores ou conteúdo informativo não deve precisar de registros de chamadas, SMS, microfone permanente, arquivos externos e notificações.
Quando houver evidência de instalação de FurBall ou aplicativo compatível com o comportamento descrito, a equipe deve considerar os dados do aparelho como potencialmente coletados durante o período de infecção. Isso inclui conversas por SMS, histórico de chamadas, fotos, vídeos, arquivos armazenados externamente, localização, notificações e conteúdo copiado para a área de transferência. A ação defensiva deve incluir troca de senhas de contas usadas no dispositivo, revogação de sessões, reemissão de fatores de autenticação quando aplicável e revisão de alertas de login durante a janela de exposição.
A infraestrutura deve ser bloqueada e monitorada com cuidado operacional. Indicadores como o domínio defangado www[.]firmwaresystemupdate[.]com e os IPs citados podem ser usados para busca histórica, mas não devem ser tratados como escopo completo. A operação já demonstrou campanhas distintas e capacidade de variar cobertura e distribuição. Por isso, bloqueios de rede precisam ser combinados com controle de aplicativos, inventário contínuo, análise comportamental e educação direcionada a usuários com maior probabilidade de receber iscas personalizadas.
- Bloquear instalação de aplicativos por fontes não aprovadas em dispositivos corporativos e perfis de alto risco.
- Auditar permissões de SMS, chamadas, microfone, armazenamento, localização e notificações em aplicativos já instalados.
- Caçar comunicação histórica com domínio C2 defangado
www[.]firmwaresystemupdate[.]come rotas associadas. - Isolar dispositivos suspeitos, preservar artefatos relevantes e remover o aplicativo malicioso após coleta defensiva.
- Revogar sessões e revisar autenticações quando notificações, SMS ou códigos de acesso puderem ter sido expostos.
0 Comentários