888 RAT Targer Kurd Groups, BladeHawk Hackers Run the Campaign
Kurdiske etniske grupper har sine Android -enheter infisert av det som ser ut til å være et nytt stykke Android -skadelig programvare. Trusselen, kalt 888 RAT, brukes sammen med SpyNote, en annen Remote Access Trojan (RAT) for Android. Kriminelle bak dette angrepet ser ut til å være en gruppe sporet under aliaset BladeHawk. Disse kriminelle har vært involvert i lignende angrep tidligere, der de brukte andre Android -implantater. Det er viktig å legge til at 888 RAT kan refereres til under forskjellige navn, for eksempel LodaRAT eller Gaza007 RAT.
Hvordan når denne 888 RAT -kampanjen ofre?
Denne kampanjen har brukt falske Facebook -profiler og andre sosiale medieplattformer for å spre den ondsinnede appen. 888 RAT er vanligvis maskert som et legitimt stykke Android-programvare, som målet lastes ned fra et tredjeparts app-hosting-nettsted. Kriminelle bruker flere profiler for spam -kampanjen. Noen av disse profilene poserer som medlemmer av det tekniske samfunnet, mens andre fungerer som kurdiske støttespillere. Bortsett fra å promotere falske apper som leverer 888 RAT, ble de samme profilene også brukt til å spre phishing -koblinger for forskjellige sosiale medier -apper og nettsteder - for eksempel Snapchat.
888 RAT er ikke et spesialbygd skadelig programvare. Faktisk ble det opprinnelig solgt på et offentlig nettsted av skaperne. Den har mottatt jevnlige oppdateringer, inkludert en Android -versjon som kom ut i 2019. Det er ikke klart om BladeHawk -hackerne bruker en kjøpt kopi eller en sprukket. Uansett er funksjonene i skadelig programvare de samme.
Hva er 888 RAT -evner?
Listen over funksjoner til denne trojaneren er veldig rik. Den er i stand til å utføre alle slags oppgaver, og det er bare ett krav - offeret må gi appen tillatelse til å bruke Android Accessibility Service. Siden mange mennesker ikke gidder å sjekke privilegiene de gir apper, kan de ubevisst gi 888 RAT full kontroll over Android -enheten. Noen av de viktigste oppgavene som dette implantatet utfører inkluderer:
- Ta opp samtaler.
- Ta skjermbilder.
- Motta maskinvareinformasjon om enheten - GPS -posisjon, batterinivå og mer.
- Se etter tilstedeværelsen av sosiale medier som Facebook.
- Stjel Facebook -legitimasjon.
- Vis alle kjørende apper.
- Administrer filsystemet.
- Last inn nettadresser i skjulte nettleserforekomster.
- Utfør eksterne kommandoer/skript.
- Administrer tekstmeldinger.
Selvfølgelig vil alle dataene som 888 RAT -ekstraktene blir sendt til serverne til angriperne. Implantatet kan også vise tilpassede phishing -overlegg - sannsynligvis laget av BladeHawk -hackerne.
Til tross for alle de farlige funksjonene, er 888 RAT et velkjent skadelig programvare. Android-brukere som investerer i anerkjente og oppdaterte antivirus-apper, kan være sikre på at høyprofilert skadelig programvare som denne ikke får sjansen til å infisere enheten.