Falske Android -apps indsættes på kurdernes håndsæt i en overvågningskampagne, der fremmes på tværs af sociale medier.
Tirsdag sagde forskere fra ESET, at en angrebsbølge udført af BladeHawk -hackergruppen er fokuseret på at målrette mod den kurdiske etniske gruppe gennem deres Android -håndsæt.
Kampagnen menes at have været aktiv siden mindst marts sidste år og misbruger Facebook og bruger den sociale medieplatform som et springbræt til distribution af falske mobilapps.
Forskerne har i skrivende stund identificeret seks Facebook -profiler forbundet til BladeHawk, som alle nu er blevet fjernet.
Mens de var aktive, udgjorde disse profiler sig som individer i teknologirummet og som kurdiske tilhængere for at dele links til gruppens ondsindede apps.
ESET siger, at apps, der er hostet på tredjepartswebsteder i stedet for Google Play, er som minimum blevet downloadet 1.481 gange.
BladeHawks falske applikationer blev promoveret som nyhedstjenester for det kurdiske samfund. De har dog 888 RAT og SpyNote, to Android-baserede fjernadgangstrojanske heste (RAT'er), som gør det muligt for angriberne at spionere efter deres ofre.
SpyNote blev kun fundet i en prøve, og derfor ser det ud til, at 888 RAT i øjeblikket er BladeHawks største nyttelast. Den kommercielle Trojan, hvoraf en revnet og gratis version er blevet tilgængelig online siden 2019, er i stand til at udføre i alt 42 kommandoer, når de først er udført på en målenhed, og en forbindelse til angriberens kommando-og-kontrol (C2) server er etableret.
Trojans funktioner omfatter at tage skærmbilleder og fotos; eksfiltrere filer og sende dem til en C2; sletning af indhold, optagelse af lyd og overvågning af telefonopkald; opsnappe og enten stjæle eller sende SMS -beskeder; scanning af kontaktlister; stjæle GPS -lokaliseringsdata; og eksfiltrering af legitimationsoplysninger fra Facebook, blandt andre funktioner.
Forskerne siger, at RAT også kan være knyttet til to andre kampagner: en overvågningskampagne dokumenteret af Zscaler, der spredes via en ondsindet og falsk TikTok Pro -app, og Kasablanca, trusselsaktører sporet af Cisco Talos, der også fokuserer på cyberspionage.
Tidligere og beslægtet dækning
Kinesiske cyberkriminelle brugte tre år på at oprette en ny bagdør for at spionere på regeringer
Falsk menneskerettighedsorganisation, FN-branding bruges til at målrette uigurer i igangværende cyberangreb
Cyber- spionage -kampagne åbner bagdøren for at stjæle dokumenter fra inficerede pc'er
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Mobility Security TV Data Management CXO Data Centers