Хакеры BladeHawk распространяют Android-бэкдоры под видом официальных приложений

Специалисты ИБ-компании ESET опубликовали некоторые подробности длительной кампании по кибершпионажу, использующей профили в Facebook и Android-бэкдоры для слежки за курдами.

Кампания, организатором которой является группировка, получившая название BladeHawk, продолжается по меньшей мере с марта 2020 года. В ходе атак злоумышленники задействовали шесть профилей в соцсети Facebook – два из них якобы предлагали новостные материалы, остальные – публиковали контент в поддержку курдов, но при этом распространяли ссылки на шпионские программы Android 888 RAT и SpyNote.

В одном из случаев атакующие предлагали скачать новый «snapchat», который на самом деле собирал учетные данные Snapchat. В общей сложности исследователи выявили 28 вредоносных публикаций в Facebook, относящихся к кампании BladeHawk. По данным экспертов, шпионское ПО было загружено почти 1,5 тыс. раз в период с июля 2020 года по июнь 2021 года.

Вредонос 888 RAT доступен на подпольных форумах с 2018 года, где его можно приобрести примерно за $80 (за версию для Windows) или за $150 - $200 за версии для Android и Linux. Функционал трояна включает возможность кражи и удаления данных на устройстве, создания скриншотов, сбора информации о местонахождении устройства, кражи учетных данных для аккаунтов в Facebook, SMS-сообщений, списка контактов, совершения звонков и пр.

Начиная с 2018 года, наиболее число заражений было зафиксировано в Индии, Украине, Великобритании, Нидерландах, Румынии, Пакистане, Ираке, России, Эфиопии и Мексике.