Falska Android -appar distribueras på kurdernas telefoner i en övervakningskampanj som marknadsförs i sociala medier.
På tisdagen sa forskare från ESET att en attackvåg som genomfördes av BladeHawk -hackergruppen är inriktad på att rikta den kurdiska etniska gruppen genom sina Android -telefoner.
Tänks ha varit aktiv sedan minst mars förra året, missbrukar kampanjen Facebook och använder sociala medieplattformar som en språngbräda för distribution av falska mobilappar.
Forskarna har i skrivande stund identifierat sex Facebook -profiler kopplade till BladeHawk, som alla nu har tagits bort.
Medan de var aktiva poserade dessa profiler som individer i teknikutrymmet och som kurdiska anhängare för att dela länkar till gruppens skadliga appar.
ESET säger att åtminstone apparna-som finns på tredje parts webbplatser, snarare än Google Play-har laddats ner 1 481 gånger.
BladeHawks falska applikationer marknadsfördes som nyhetstjänster för det kurdiska samhället. De har dock 888 RAT och SpyNote, två Android-baserade fjärråtkomst trojaner (RAT) som gör det möjligt för angriparna att spionera på sina offer.
SpyNote hittades bara i ett prov, så det verkar som att 888 RAT för närvarande är BladeHawks huvudsakliga nyttolast. Den kommersiella trojanen, av vilken en sprucken och gratis version har gjorts tillgänglig online sedan 2019, kan utföra totalt 42 kommandon när de en gång körts på en målenhet och en anslutning till angriparens kommando-och-kontroll (C2) -server är Etablerade.
Trojanska funktioner inkluderar att ta skärmdumpar och foton; exfiltrera filer och skicka dem till en C2; radering av innehåll, inspelning av ljud och övervakning av telefonsamtal; avlyssna och antingen stjäla eller skicka SMS -meddelanden; skanna kontaktlistor; stjäla GPS -platsdata; och exfiltrering av referenser från Facebook, bland andra funktioner.
Forskarna säger att RAT också kan kopplas till två andra kampanjer: en övervakningskampanj dokumenterad av Zscaler som sprids via en skadlig och falsk TikTok Pro -app och Kasablanca, hotaktörer som spåras av Cisco Talos som också fokuserar på cyberspionage.
Tidigare och relaterad täckning
Kinesiska cyberkriminella ägnade tre år åt att skapa en ny bakdörr för att spionera på regeringar
Falsk mänsklig rättighetsorganisation, FN-varumärke används för att rikta sig till uigurer i pågående cyberattacker
Cyber- spionage -kampanjen öppnar bakdörren för att stjäla dokument från infekterade datorer
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Mobility Security TV Datahantering CXO Datacenter