Los investigadores de seguridad cibernética publicaron el martes nuevos hallazgos que revelan una campaña anual de espionaje móvil contra el grupo étnico kurdo para implementar dos puertas traseras para Android, que se hacen pasar por aplicaciones legítimas.

Los ataques, que han estado activos desde al menos marzo de 2020, utilizaron hasta seis perfiles de Facebook dedicados que afirmaban ofrecer contenido técnico y pro kurdo, dos dirigidos a usuarios de Android, mientras que los otros cuatro parecen enviar mensajes a los seguidores kurdos, para el único propósito de compartir enlaces. sobre aplicaciones de espionaje en grupos públicos de Facebook. Desde entonces, se han eliminado los seis perfiles.

«Se ha dirigido al grupo étnico kurdo a través de al menos 28 publicaciones maliciosas en Facebook que llevarían a las víctimas potenciales a descargar Android 888 RAT o SpyNote», dijo el investigador de ESET Lukas Stefanko. «La mayoría de las publicaciones maliciosas en Facebook han llevado a la retirada del RAT 888 comercial multiplataforma, que ha estado disponible en el mercado negro desde 2018».

Una empresa de ciberseguridad eslovaca ha atribuido los ataques a un grupo al que llama BladeHawk.

En un caso, los operadores compartieron una publicación en Facebook instando a los usuarios a descargar una «nueva aplicación de Snapchat» que está diseñada para capturar las credenciales de Snapchat a través de un sitio web de phishing. La última operación identificó un total de 28 publicaciones falsas de Facebook, completas con descripciones de aplicaciones falsas y enlaces de descarga de aplicaciones de Android, de las cuales se obtuvieron 17 muestras únicas de APK. Del 20 de julio de 2020 al 28 de junio de 2021, las aplicaciones de software espía se descargaron 1481 veces.

Independientemente de la aplicación instalada, la cadena infecciosa culmina con el despliegue de 888 RAT. Originalmente diseñado como un troyano de acceso remoto (RAT) de $ 80, las nuevas opciones agregadas al implante le han permitido enfocarse en Android y Linux a $ 150 (Pro) y $ 200 (Extreme) a un costo adicional.

Commercial RAT ejecuta una gama típica de spyware en el sentido de que está equipada para ejecutar 42 comandos recibidos de su servidor de comando y control (C&C). Algunas de sus características destacadas incluyen la capacidad de robar y eliminar archivos del dispositivo, tomar capturas de pantalla, recopilar la ubicación del dispositivo, buscar credenciales de Facebook, obtener una lista de aplicaciones instaladas, recopilar fotos de usuarios, tomar fotos, grabar sonidos ambientales y llamadas telefónicas, hacer llamadas, robar mensajes SMS y listas de contactos y enviar mensajes de texto.

Según ESET, India, Ucrania y el Reino Unido tienen la mayor cantidad de infecciones en el período de tres años que comenzó el 18 de agosto de 2018, con Rumania, los Países Bajos, Pakistán, Irak, Rusia, Etiopía y México entre los diez primeros. manchas

La actividad de espionaje estuvo directamente relacionada con otros dos incidentes que salieron a la luz en 2020, incluida una revelación pública de la empresa china de ciberseguridad QiAnXin, que detalló un ataque BladeHawk con el mismo modus operandi, con una superposición en el uso de servidores C&C, 888 RATA. y confianza en Facebook para distribuir malware.

Además, Android 888 RAT se conectó con otras dos campañas organizadas: una que involucraba spyware disfrazado de TikTok y una operación de recopilación de información realizada por el grupo Kasablanca.