888 RATはクルド人グループを標的とし、BladeHawkハッカーはキャンペーンを実行します
クルド人の民族グループは、AndroidデバイスをAndroidマルウェアの新しい部分のように見えるものに感染させています。この脅威は888RATと呼ばれ、Android用の別のリモートアクセストロイの木馬(RAT)であるSpyNoteと一緒に使用されます。この攻撃の背後にいる犯罪者は、別名BladeHawkの下で追跡されているグループのようです。これらの犯罪者は過去に同様の攻撃に関与しており、他のAndroidインプラントを使用していました。 888 RATは、LodaRATやGaza007RATなどの異なる名前で参照される場合があることを追加することが重要です。
この888RATキャンペーンはどのようにして犠牲者に届きますか?
この特定のキャンペーンでは、偽のFacebookプロファイルやその他のソーシャルメディアプラットフォームを使用して、悪意のあるアプリを広めています。 888 RATは通常、Androidソフトウェアの正当な部分としてマスクされており、ターゲットはサードパーティのアプリホスティングサイトからダウンロードします。犯罪者はスパムキャンペーンにいくつかのプロファイルを使用します。これらのプロファイルの一部は技術コミュニティのメンバーを装い、他のプロファイルはクルド人の支持者として行動します。 888 RATを配信する偽のアプリを宣伝する以外に、同じプロファイルを使用して、Snapchatなどのさまざまなソーシャルメディアアプリやサイトのフィッシングリンクを広めました。
888 RATは、特注のマルウェアではありません。実際、当初は作成者によって公開Webサイトで販売されていました。 2019年にリリースされたAndroidバージョンを含む定期的なアップデートを受け取っています。BladeHawkハッカーが購入したコピーを使用しているか、クラックされたコピーを使用しているかは明らかではありません。とにかく、マルウェアの機能は同じままです。
888 RAT機能とは何ですか?
このトロイの木馬の機能のリストは非常に豊富です。あらゆる種類のタスクを実行できます。要件は1つだけです。被害者は、Android AccessibilityServiceを使用するための権限をアプリに付与する必要があります。多くの人は、アプリに付与する権限を実際に確認する必要がないため、無意識のうちに888RATにAndroidデバイスの完全な制御を許可する可能性があります。このインプラントが実行する最も重要なタスクのいくつかは次のとおりです。
- 通話を録音します。
- スクリーンショットを取得します。
- デバイスに関するハードウェア情報(GPS位置、バッテリーレベルなど)を受信します。
- Facebookなどのソーシャルメディアアプリの存在を確認します。
- Facebookの資格情報を盗みます。
- 実行中のすべてのアプリを一覧表示します。
- ファイルシステムを管理します。
- 非表示のWebブラウザインスタンスにURLをロードします。
- リモートコマンド/スクリプトを実行します。
- テキストメッセージを管理します。
もちろん、888 RATが抽出するすべてのデータは、攻撃者のサーバーに送信されます。インプラントは、おそらくBladeHawkハッカーによって作成されたカスタムフィッシングオーバーレイを表示することもできます。
その危険な機能のすべてにもかかわらず、888RATはよく知られているマルウェアです。評判の良い最新のウイルス対策アプリに投資しているAndroidユーザーは、このような注目度の高いマルウェアがデバイスに感染する機会がないことを確信できます。