888 RAT prende di mira i gruppi curdi, gli hacker di BladeHawk gestiscono la campagna
I gruppi etnici curdi stanno vedendo i loro dispositivi Android infettati da quello che sembra essere un nuovo malware Android. La minaccia, soprannominata 888 RAT, viene utilizzata insieme a SpyNote, un altro Trojan di accesso remoto (RAT) per Android. I criminali dietro questo attacco sembrano essere un gruppo rintracciato sotto lo pseudonimo di BladeHawk. Questi criminali sono stati coinvolti in attacchi simili in passato, dove hanno utilizzato altri impianti Android. È importante aggiungere che l'888 RAT può essere indicato con nomi diversi come LodaRAT o Gaza007 RAT.
In che modo questa campagna 888 RAT raggiunge le vittime?
Questa particolare campagna ha utilizzato falsi profili Facebook e altre piattaforme di social media per propagare l'app dannosa. L'888 RAT è solitamente mascherato come un pezzo legittimo di software Android, che il target scarica da un sito di hosting di app di terze parti. I criminali utilizzano diversi profili per la campagna di spam. Alcuni di questi profili si spacciano per membri della comunità tecnologica, mentre altri agiscono come sostenitori curdi. Oltre a promuovere app fasulle che forniscono l'888 RAT, gli stessi profili sono stati utilizzati anche per diffondere collegamenti di phishing per varie app e siti di social media, come Snapchat.
L'888 RAT non è un malware personalizzato. In effetti, è stato inizialmente venduto su un sito Web pubblico dai suoi creatori. Ha ricevuto aggiornamenti regolari, inclusa una versione Android uscita nel 2019. Non è chiaro se gli hacker di BladeHawk stiano utilizzando una copia acquistata o una crackata. Indipendentemente da ciò, le caratteristiche del malware rimangono le stesse.
Quali sono le capacità di 888 RAT?
L'elenco delle funzionalità di questo Trojan è molto ricco. È in grado di eseguire tutti i tipi di attività e c'è un solo requisito: la vittima deve concedere all'app le autorizzazioni per utilizzare il servizio di accessibilità Android. Poiché molte persone non si preoccupano di controllare effettivamente i privilegi che concedono alle app, possono inconsapevolmente dare all'888 RAT il pieno controllo sul proprio dispositivo Android. Alcuni dei compiti più importanti che questo impianto svolge includono:
- Registra le chiamate.
- Cattura screenshot.
- Ricevi informazioni sull'hardware del dispositivo: posizione GPS, livello della batteria e altro.
- Verifica la presenza di app di social media come Facebook.
- Ruba le credenziali di Facebook.
- Elenca tutte le app in esecuzione.
- Gestire il file system.
- Carica gli URL nelle istanze del browser Web nascoste.
- Esegui comandi/script remoti.
- Gestire i messaggi di testo.
Naturalmente, tutti i dati estratti da 888 RAT verranno inviati ai server degli aggressori. L'impianto è anche in grado di visualizzare sovrapposizioni di phishing personalizzate, probabilmente realizzate dagli hacker di BladeHawk.
Nonostante tutte le sue caratteristiche pericolose, 888 RAT è un noto malware. Gli utenti Android che investono in app antivirus affidabili e aggiornate possono essere certi che malware di alto profilo come questo non avranno la possibilità di infettare il loro dispositivo.