888 RAT visa grupos curdos, os hackers BladeHawk executam a campanha

Grupos étnicos curdos estão tendo seus dispositivos Android infectados pelo que parece ser uma nova peça de malware do Android. A ameaça, apelidada de 888 RAT, é usada junto com o SpyNote, outro cavalo de Troia de acesso remoto (RAT) para Android. Os criminosos por trás desse ataque parecem ser um grupo rastreado sob o pseudônimo BladeHawk. Esses criminosos estiveram envolvidos em ataques semelhantes no passado, em que usaram outros implantes Android. É importante acrescentar que o 888 RAT pode ser referido com nomes diferentes, como LodaRAT ou Gaza007 RAT.

Como esta campanha 888 RAT alcança as vítimas?

Esta campanha em particular tem usado perfis falsos do Facebook e outras plataformas de mídia social para propagar o aplicativo malicioso. O 888 RAT geralmente é mascarado como uma peça legítima de software Android, que o alvo baixa de um site de hospedagem de aplicativos de terceiros. Os criminosos usam vários perfis para a campanha de spam. Alguns desses perfis se passam por membros da comunidade de tecnologia, enquanto outros agem como apoiadores curdos. Além de promover aplicativos falsos que entregam o RAT 888, os mesmos perfis também foram usados para espalhar links de phishing para vários aplicativos e sites de mídia social - como o Snapchat.

O 888 RAT não é um malware feito sob medida. Na verdade, ele foi inicialmente vendido em um site público por seus criadores. Ele tem recebido atualizações regulares, incluindo uma versão do Android que saiu em 2019. Não está claro se os hackers do BladeHawk estão usando uma cópia comprada ou quebrada. Independentemente disso, os recursos do malware permanecem os mesmos.

O que são os recursos do 888 RAT?

A lista de recursos deste Trojan é muito rica. Ele é capaz de realizar todos os tipos de tarefas, e há apenas um requisito - a vítima deve conceder ao aplicativo permissões para usar o Serviço de Acessibilidade do Android. Como muitas pessoas não se preocupam em realmente verificar os privilégios que concedem aos aplicativos, podem, sem saber, conceder ao 888 RAT controle total sobre seu dispositivo Android. Algumas das tarefas mais importantes que este implante realiza incluem:

• Grave chamadas.
• Faça capturas de tela.
• Receba informações de hardware sobre o dispositivo - localização GPS, nível da bateria e muito mais.
• Verifique a presença de aplicativos de mídia social, como o Facebook.
• Roube credenciais do Facebook.
• Liste todos os aplicativos em execução.
• Gerenciar o sistema de arquivos.
• Carregue URLs em instâncias ocultas do navegador da Web.
• Execute comandos / scripts remotos.
• Gerenciar mensagens de texto.

Claro, todos os dados que o 888 RAT extrai serão enviados aos servidores dos atacantes. O implante também é capaz de exibir sobreposições de phishing personalizadas - provavelmente feitas pelos hackers BladeHawk.

Apesar de todos os seus recursos perigosos, o 888 RAT é um malware bem conhecido. Os usuários do Android que investem em aplicativos antivírus confiáveis e atualizados podem ter certeza de que malwares de alto perfil como este não terão a chance de infectar seus dispositivos.