888 RAT cible les groupes kurdes, les hackers de BladeHawk mènent la campagne
Les groupes ethniques kurdes voient leurs appareils Android infectés par ce qui semble être un nouveau malware Android. La menace, surnommée le 888 RAT, est utilisée avec SpyNote, un autre cheval de Troie d'accès à distance (RAT) pour Android. Les criminels derrière cette attaque semblent être un groupe traqué sous le pseudonyme de BladeHawk. Ces criminels ont été impliqués dans des attaques similaires dans le passé, où ils ont utilisé d'autres implants Android. Il est important d'ajouter que le 888 RAT peut être référencé sous différents noms tels que LodaRAT ou Gaza007 RAT.
Comment cette campagne 888 RAT atteint-elle les victimes ?
Cette campagne particulière a utilisé de faux profils Facebook et d'autres plateformes de médias sociaux pour propager l'application malveillante. Le 888 RAT est généralement masqué comme un logiciel Android légitime, que la cible télécharge à partir d'un site d'hébergement d'applications tiers. Les criminels utilisent plusieurs profils pour la campagne de spam. Certains de ces profils se présentent comme des membres de la communauté technologique, tandis que d'autres agissent comme des partisans kurdes. En plus de promouvoir de fausses applications fournissant le 888 RAT, les mêmes profils ont également été utilisés pour diffuser des liens de phishing pour diverses applications et sites de médias sociaux, tels que Snapchat.
Le 888 RAT n'est pas un malware sur mesure. En fait, il a d'abord été vendu sur un site Web public par ses créateurs. Il a reçu des mises à jour régulières, y compris une version Android sortie en 2019. Il n'est pas clair si les pirates informatiques de BladeHawk utilisent une copie achetée ou une copie fissurée. Quoi qu'il en soit, les caractéristiques du malware restent les mêmes.
Que sont les capacités 888 RAT ?
La liste des fonctionnalités de ce cheval de Troie est très riche. Il est capable d'effectuer toutes sortes de tâches, et il n'y a qu'une seule exigence : la victime doit accorder à l'application les autorisations nécessaires pour utiliser le service d'accessibilité Android. Étant donné que de nombreuses personnes ne prennent pas la peine de vérifier les privilèges qu'elles accordent aux applications, elles peuvent sans le savoir donner au 888 RAT un contrôle total sur leur appareil Android. Certaines des tâches les plus importantes que cet implant effectue comprennent:
- Enregistrez les appels.
- Prenez des captures d'écran.
- Recevez des informations matérielles sur l'appareil - localisation GPS, niveau de batterie, etc.
- Vérifiez la présence d'applications de médias sociaux telles que Facebook.
- Voler les identifiants Facebook.
- Répertoriez toutes les applications en cours d'exécution.
- Gérer le système de fichiers.
- Chargez les URL dans les instances de navigateur Web masquées.
- Exécutez des commandes/scripts à distance.
- Gérer les messages texte.
Bien entendu, toutes les données extraites par le 888 RAT seront envoyées aux serveurs des attaquants. L'implant est également capable d'afficher des superpositions de phishing personnalisées - probablement créées par les pirates informatiques BladeHawk.
Malgré toutes ses caractéristiques dangereuses, le 888 RAT est un malware bien connu. Les utilisateurs d'Android qui investissent dans des applications antivirus réputées et à jour peuvent être certains que les logiciels malveillants de grande envergure comme celui-ci n'auront aucune chance d'infecter leur appareil.