Την Τρίτη, ερευνητές από την ESET είπαν ότι ένα κύμα επίθεσης που πραγματοποιήθηκε από την ομάδα hacking BladeHawk επικεντρώνεται στη στόχευση της κουρδικής εθνοτικής ομάδας μέσω των Android συσκευών τους.
Δείτε επίσης: Χάκερ στοχεύουν τη σύνδεση των θυμάτων τους στο διαδίκτυο
Η καμπάνια που θεωρείται ότι ήταν ενεργή τουλάχιστον από τον περασμένο Μάρτιο κάνει κατάχρηση του Facebook και χρησιμοποιεί την πλατφόρμα κοινωνικών μέσων ως εφαλτήριο για τη διανομή ψεύτικων εφαρμογών για κινητά.
Οι ερευνητές έχουν εντοπίσει έξι προφίλ στο Facebook που συνδέονται με την ομάδα BladeHawk τα οποία έχουν πλέον αφαιρεθεί.
Ενώ ήταν ενεργά, αυτά τα προφίλ παρουσιάστηκαν ως άτομα στον χώρο της τεχνολογίας και ως υποστηρικτές των Κούρδων προκειμένου να κοινοποιήσουν links προς τις κακόβουλες εφαρμογές της ομάδας.
Δείτε επίσης: Ο χάκερ που προκάλεσε εγκεφαλικά, λέει ότι έκλεψε 600 εκατ. crypto “για πλάκα”!
Η ESET λέει ότι τουλάχιστον, οι εφαρμογές -που φιλοξενούνται σε ιστότοπους τρίτων και όχι στο Google Play- έχουν γίνει download 1.481 φορές.
Οι ψεύτικες εφαρμογές του BladeHawk προωθήθηκαν ως υπηρεσίες ειδήσεων για την κουρδική κοινότητα. Ωστόσο, φιλοξενούν τα 888 RAT και SpyNote, δύο Trojans Remote Access (RATs) που βασίζονται στο Android και επιτρέπουν στους επιτιθέμενους να κατασκοπεύουν τα θύματά τους.
Το SpyNote βρέθηκε μόνο σε ένα δείγμα και έτσι φαίνεται ότι το 888 RAT είναι αυτή τη στιγμή το κύριο payload του BladeHawk. Το εμπορικό Trojan, του οποίου μια σπασμένη και δωρεάν έκδοση διατίθεται στο διαδίκτυο από το 2019, είναι σε θέση να εκτελέσει συνολικά 42 εντολές μόλις εκτελεστούν σε μια συσκευή-στόχο και μια σύνδεση με τον command-and-control (C2) server του εισβολέα είναι καθιερωμένη.
Δείτε επίσης: Η μεγαλύτερη κλοπή κρυπτονομισμάτων από χάκερς! Χάθηκαν 600 εκατ.
Οι λειτουργίες του Trojan περιλαμβάνουν τη λήψη των screenshot και των φωτογραφιών, το exfiltrating αρχείων και την αποστολή τους σε C2, την διαγραφή περιεχομένου, την εγγραφή ήχου και την παρακολούθηση τηλεφωνικών κλήσεων, την υποκλοπή ή αποστολή μηνυμάτων SMS, την σάρωση λιστών επαφών, την κλοπή δεδομένων θέσης GPS και το exfiltration των credentials από το Facebook, μεταξύ άλλων λειτουργιών.
Πηγή πληροφοριών: zdnet.com
