BladeHawk-aanvallers bespioneren Koerden met nep-Android-apps

Valse Android-apps worden ingezet op de handsets van Koerden in een bewakingscampagne die op sociale media wordt gepromoot.

Dinsdag zeiden onderzoekers van ESET dat een aanvalsgolf uitgevoerd door de BladeHawk-hackgroep gericht is op de Koerdische etnische groep via hun Android-handsets.

De campagne, die vermoedelijk al sinds maart vorig jaar actief is, maakt misbruik van Facebook en gebruikt het sociale-mediaplatform als springplank voor de verspreiding van nep-mobiele apps.

De onderzoekers hebben op het moment van schrijven zes Facebook-profielen geïdentificeerd die verbonden zijn met BladeHawk, die nu allemaal zijn verwijderd.

Terwijl ze actief waren, deden deze profielen zich voor als individuen in de technologieruimte en als Koerden-aanhangers om links naar de kwaadaardige apps van de groep te delen.

ESET zegt dat de apps – gehost op websites van derden in plaats van Google Play – minimaal 1.481 keer zijn gedownload.

De nep-applicaties van BladeHawk werden gepromoot als nieuwsdiensten voor de Koerdische gemeenschap. Ze herbergen echter 888 RAT en SpyNote, twee op Android gebaseerde Remote Access Trojans (RAT’s) waarmee de aanvallers hun slachtoffers kunnen bespioneren.

SpyNote werd slechts in één voorbeeld gevonden, en dus lijkt het erop dat 888 RAT momenteel de belangrijkste payload van BladeHawk is. De commerciële trojan, waarvan sinds 2019 een gekraakte en gratis versie online beschikbaar is, kan in totaal 42 opdrachten uitvoeren op een doelapparaat en een verbinding met de command-and-control (C2) -server van de aanvaller is vastgesteld.

De functies van de Trojan omvatten het maken van screenshots en foto’s; bestanden exfiltreren en naar een C2 sturen; inhoud verwijderen, audio opnemen en telefoongesprekken volgen; het onderscheppen en stelen of verzenden van sms-berichten; het scannen van contactlijsten; het stelen van GPS-locatiegegevens; en de exfiltratie van inloggegevens van Facebook, naast andere functies.

De onderzoekers zeggen dat de RAT mogelijk ook is gekoppeld aan twee andere campagnes: een bewakingscampagne gedocumenteerd door Zscaler die zich verspreidt via een kwaadaardige en valse TikTok Pro-app, en Kasablanca, bedreigingsactoren die worden gevolgd door Cisco Talos die zich ook richten op cyberspionage.

Vorige en gerelateerde dekking


Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0


Posted By : keluaran sidney hari ini