ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888 RAT und SpyNote bekannt sind.
Mit diesen Profilen werden ausschließlich Kurden in ihrer Sprache angeschrieben. Insgesamt identifizierten die ESET-Forscher sechs Facebook-Profile, die Android-Spionage-Apps von der BladeHawk-Gruppe durchgeführten Kampagne verbreiteten. Über öffentliche Facebook-Gruppen haben die Konten die Ausspähprogramme in Umlauf gebracht. Hierbei wurden hauptsächlich Unterstützer von Masoud Barzani kontaktiert, dem ehemaligen Präsidenten der Region Kurdistan, einer autonomen Region im Nordirak. Insgesamt haben die betroffenen Facebook-Gruppen über 11.000 Anhänger. Die Analyse zu den Aktivitäten der BladeHawk-Gruppe ist auf WeliveSecurity verfügbar.
“Wir haben diese Profile an Facebook gemeldet und sie wurden alle entfernt. Zwei davon richteten sich an Tech-Nutzer, während die anderen vier sich als Kurden-Unterstützer ausgaben”, sagt ESET-Forscher Lukás Stefanko, der die BladeHawk-Kampagne untersucht.
Facebook-Posts sollen zum Klick auf einen Link verleiten
ESET Research identifizierte 28 einzigartige Facebook-Posts als Teil der BladeHawk-Kampagne. Jeder dieser Posts enthielt gefälschte App-Beschreibungen und Links, von denen die ESET-Forscher 17 einzelne APKs herunterladen konnten. Einige der APK-Web-Links verwiesen direkt auf die bösartige App, während andere auf einen Drittanbieter-Upload-Dienst führten, der die Download-Anzahl registrierte. Allein hier wurden die Spionage-Apps 1.418mal heruntergeladen.
Die meisten der hinterhältigen Facebook-Posts führten zu Downloads des kommerziellen, plattformübergreifenden 888 RAT, das seit 2018 auf dem Schwarzmarkt erhältlich ist. Die Spionage-App ist in der Lage, 42 Befehle auszuführen, die es von seinem Command-and-Control-Server (C&C) erhält. Es kann Dateien von einem Gerät stehlen und löschen, Screenshots erstellen, den Standort des Geräts ermitteln, Facebook-Anmeldedaten fälschen, eine Liste der installierten Apps abrufen, Benutzerfotos stehlen, Fotos aufnehmen, Umgebungsgeräusche und Telefonanrufe aufzeichnen, Anrufe tätigen, SMS-Nachrichten sowie die Kontaktliste des Geräts stehlen und Textnachrichten senden.
Zusammenhang mit anderen Fällen
Diese von den ESET-Forschern entdeckte Spionageaktivität steht in direktem Zusammenhang mit zwei im Jahr 2020 öffentlich bekannt gewordenen Fällen. Das QiAnXin Threat Intelligence Center gab der Gruppe hinter den Angriffen den Namen BladeHawk. Um Verwechslungen zu vermeiden, hat ESET die Bezeichnung übernommen. Beide Kampagnen wurden über Facebook verbreitet, wobei Malware verwendet wurde, die mit kommerziellen, automatisierten Tools (888 RAT und SpyNote) erstellt wurde. Alle eingesetzten Varianten der Schad-App nutzten dieselben C&C-Server.
Weitere technische Details zur jüngsten BladeHawk-Kampagne gibt es im Blogbeitrag auf WeLiveSecurity.
www.eset.com/de