新しいFurBall

FurBallはマルウェアです。
最初に観測されたのは2018年9月です。
2016年くらいから活動していたのではないかといわれています。
以前のFurBallと新しいFurBallを比べてみましょう。

• 以前のFurBall
  非常に高機能です。
  クリップボードからのテキスト、地理上の位置、SMSメッセージ、連絡先リスト、コールログ、録音された通話、他のアプリからのすべての通知のテキスト、デバイスアカウント、デバイス上のファイルのリスト、実行中のアプリ、インストール済みアプリのリスト、デバイス情報、などの取得が可能です。
  難読化の試みは見られません。

   

• 新しいFurBall
  連絡先リスト、デバイスアカウント、デバイス上の外部ストレージからアクセス可能なファイル、インストール済みアプリのリスト、デバイス情報、の取得が可能です。
  新しいバージョンのほうが機能が少なくなっています。
  加えて、ほんの少しの難読化が実施されています。
  例えばクラス名で、従来は「AirplaneManager」だったものが「AirMan」に変更されています。
  また、ログをアップロードするURLの末尾が「upload-log.php」から「lg-upld.php」に変更されています。
  なんていうことはないですが、こういう難読化が実施されています。

新しいFurBallは、機能を減らし、少しの難読化を実施したものといえそうです。

通常セキュリティベンダーの提供するセキュリティ製品は研究と実装が継続されていますので、時間の経過とともに特定の脅威の検出率は向上していくと期待できます。
しかし、難読化される前の古いFurBallはVirusTotalで28/64の検出率だったのですが、難読化された新しいFurBallはVirusTotalで4/63の検出率でした。
この変化は難読化が功を奏したものなのでしょうか。
それとも機能を減らしたことが関連しているのでしょうか。
機能が減ることで要求する権限も減ることになりますので、これも無関係ではないように思われます。
検出率低下の要因成分分析はできていませんが、結果として実際に検出率が大きく低下しています。

これまでのマルウェアを見ると時間の経過とともに高機能化されることが大きな方向性だったように思います。
もしかしたらこれからは機能を絞っていくつもの道具を組み合わせて使っていくことで検出される危険を回避していくということになってくるのかもしれません。

参考記事（外部リンク）：Domestic Kitten campaign spying on Iranian citizens with new
FurBall malware
www.welivesecurity.com/2022/10/20/domestic-kitten-campaign-spying-iranian-citizens-furball-malware/