888 RAT zielt auf kurdische Gruppen ab, BladeHawk-Hacker führen die Kampagne
Kurdische ethnische Gruppen lassen ihre Android-Geräte mit einer scheinbar neuen Android-Malware infizieren. Die Bedrohung, die als 888 RAT bezeichnet wird, wird zusammen mit SpyNote verwendet, einem weiteren Remote Access Trojan (RAT) für Android. Die Kriminellen hinter diesem Angriff scheinen eine Gruppe zu sein, die unter dem Pseudonym BladeHawk verfolgt wird. Diese Kriminellen waren in der Vergangenheit an ähnlichen Angriffen beteiligt, bei denen sie andere Android-Implantate verwendeten. Es ist wichtig hinzuzufügen, dass die 888 RAT unter verschiedenen Namen wie LodaRAT oder Gaza007 RAT bezeichnet werden kann.
Wie erreicht diese 888 RAT-Kampagne die Opfer?
Diese spezielle Kampagne verwendet gefälschte Facebook-Profile und andere Social-Media-Plattformen, um die bösartige App zu verbreiten. Die 888 RAT wird normalerweise als legitime Android-Software maskiert, die das Ziel von einer Drittanbieter-App-Hosting-Site herunterlädt. Die Kriminellen verwenden mehrere Profile für die Spam-Kampagne. Einige dieser Profile geben sich als Mitglieder der Tech-Community aus, während andere als kurdische Unterstützer fungieren. Abgesehen von der Werbung für gefälschte Apps, die die 888 RAT liefern, wurden dieselben Profile auch verwendet, um Phishing-Links für verschiedene Social-Media-Apps und -Sites – wie Snapchat – zu verbreiten.
Die 888 RAT ist keine speziell angefertigte Malware. Tatsächlich wurde es ursprünglich von seinen Schöpfern auf einer öffentlichen Website verkauft. Es wurde regelmäßig aktualisiert, darunter eine Android-Version, die 2019 herauskam. Es ist nicht klar, ob die BladeHawk-Hacker eine gekaufte oder eine gecrackte Kopie verwenden. Unabhängig davon bleiben die Funktionen der Malware gleich.
Was sind 888 RAT-Funktionen?
Die Liste der Funktionen dieses Trojaners ist sehr umfangreich. Es kann alle möglichen Aufgaben ausführen und es gibt nur eine Voraussetzung – das Opfer muss der App Berechtigungen erteilen, um den Android Accessibility Service zu verwenden. Da sich viele Leute nicht die Mühe machen, die Berechtigungen, die sie Apps gewähren, tatsächlich zu überprüfen, geben sie der 888 RAT möglicherweise unwissentlich die volle Kontrolle über ihr Android-Gerät. Zu den wichtigsten Aufgaben, die dieses Implantat übernimmt, gehören:
- Anrufe aufzeichnen.
- Schnapp dir Screenshots.
- Erhalten Sie Hardwareinformationen über das Gerät – GPS-Standort, Akkustand und mehr.
- Überprüfen Sie, ob Social-Media-Apps wie Facebook vorhanden sind.
- Stehlen Sie Facebook-Zugangsdaten.
- Alle laufenden Apps auflisten.
- Verwalten Sie das Dateisystem.
- Laden Sie URLs in versteckte Webbrowser-Instanzen.
- Führen Sie Remote-Befehle/Skripte aus.
- Textnachrichten verwalten.
Natürlich werden alle Daten, die die 888 RAT extrahiert, an die Server der Angreifer gesendet. Das Implantat kann auch benutzerdefinierte Phishing-Overlays anzeigen – wahrscheinlich von den BladeHawk-Hackern.
Trotz all seiner gefährlichen Funktionen ist die 888 RAT eine bekannte Malware. Android-Nutzer, die in seriöse und aktuelle Antiviren-Apps investieren, können sicher sein, dass hochkarätige Malware wie diese keine Chance hat, ihr Gerät zu infizieren.
