App false Android vengono distribuite sui telefoni dei curdi in una campagna di sorveglianza promossa sui social media.
Martedì, i ricercatori di ESET hanno affermato che un'ondata di attacchi condotta dal gruppo di hacker BladeHawk si concentra sul prendere di mira il gruppo etnico curdo attraverso i loro telefoni Android.
Pensata attiva almeno da marzo dello scorso anno, la campagna abusa di Facebook e utilizza la piattaforma di social media come trampolino di lancio per la distribuzione di app mobili false.
I ricercatori hanno identificato sei profili Facebook collegati a BladeHawk al momento della stesura, che ora sono stati tutti rimossi.
Mentre erano attivi, questi profili si presentavano come individui nello spazio tecnologico e come sostenitori curdi per condividere collegamenti alle app dannose del gruppo.
ESET afferma che almeno le app, ospitate su siti Web di terze parti anziché su Google Play, sono state scaricate 1.481 volte.
Le false applicazioni di BladeHawk sono state promosse come servizi di notizie per la comunità curda. Tuttavia, ospitano 888 RAT e SpyNote, due Trojan Remote Access (RAT) basati su Android che consentono agli aggressori di spiare le loro vittime.
SpyNote è stato trovato solo in un campione, quindi sembra che 888 RAT sia attualmente il payload principale di BladeHawk. Il trojan commerciale, di cui una versione crackata e gratuita è disponibile online dal 2019, è in grado di eseguire un totale di 42 comandi una volta eseguiti su un dispositivo di destinazione e una connessione al server di comando e controllo (C2) dell'attaccante è stabilito.
Le funzioni del Trojan includono l'acquisizione di schermate e foto; estrarre i file e inviarli a un C2; cancellazione di contenuti, registrazione di audio e monitoraggio di telefonate; intercettare e rubare o inviare messaggi SMS; scansione di elenchi di contatti; rubare i dati sulla posizione GPS; e l'esfiltrazione delle credenziali da Facebook, tra le altre funzioni.
I ricercatori affermano che il RAT potrebbe anche essere collegato ad altre due campagne: una campagna di sorveglianza documentata da Zscaler che si diffonde tramite un'app TikTok Pro dannosa e falsa e Kasablanca, attori di minacce monitorati da Cisco Talos che si concentrano anche sul cyberspionaggio.
Copertura precedente e correlata
I cybercriminali cinesi hanno trascorso tre anni a creare una nuova backdoor per spiare i governi
Falsa organizzazione per i diritti umani, marchio delle Nazioni Unite usato per prendere di mira gli uiguri negli attacchi informatici in corso
Cyber- campagna di spionaggio apre una backdoor per rubare documenti da PC infetti
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Mobility Security TV Data Management CXO Data Center 