针对库尔德民族的Android间谍活动曝光，通过FaceBook分发恶意程序

网络安全研究人员周二发布了新的调查结果，揭示了针对西亚地区库尔德民族的为期一年的移动端间谍活动，目的是部署两个伪装成合法应用程序的 Android 后门。

至少从 2020 年 3 月开始，这些攻击利用了多达 6 个FaceBook账户来发布亲库尔德的内容，其中两个针对 Android 用户，而其他四个似乎为库尔德支持者提供新闻，这些只是为了分享间谍程序的链接。此后，所有六个FaceBook账户都已被删除。

ESET 研究员 Lukas Stefanko说：“至少有28个恶意的Facebook帖子针对库尔德民族，这些帖子会导致潜在受害者下载 Android 888 RAT 或 SpyNote间谍程序。”“大多数恶意引导的 Facebook 帖子都产生 888 RAT 恶意程序的下载，该软件自 2018 年以来一直在黑市上流行。”

根据极牛网GEEKNB.COM小编的梳理，运营商分享了一篇 Facebook 帖子的案例，通过引导用户下载“新的 Snapchat”应用程序，该应用程序旨在通过网络钓鱼网站捕获 Snapchat 用户凭据，共有 28 个 Facebook 钓鱼帖子中包含完整的虚假应用程序描述和下载 Android 应用程序的链接，从中提取了 17 个Android APK 样本。从 2020 年 7 月 20 日到 2021 年 6 月 28 日，间谍应用程序被下载了 1481 次。

无论安装了何种应用程序，感染链都会在部署 888 RAT 时达到高潮。最初被设想为价格为 80 美元的 Windows 远程访问木马 (RAT)，攻击载荷中添加的新功能使其能够分别针对 Android 和 Linux 系统以 150 美元（专业版）和 200 美元（极限版）的价格进行出售。

商业 RAT 远程访问木马运行的间谍软件，因为它可以运行从其命令和控制 (C&C) 服务器接收的 42 个命令。它的一些突出功能包括从设备中窃取和删除文件、截取屏幕截图、收集设备位置、刷 Facebook 凭据、获取已安装应用程序列表、收集用户照片、拍照、记录周围的音频和电话、拨打电话、窃取 SMS 消息和联系人列表，以及发送短信。

根据极牛网GEEKNB.COM小编的梳理，从 2018 年 8 月 18 日开始的三年期间，印度、乌克兰和英国的感染人数最多，其中罗马尼亚、荷兰、巴基斯坦、伊拉克、俄罗斯、埃塞俄比亚和墨西哥位居前 10 名。

间谍活动与 2020 年曝光的另外两起事件直接相关，包括网络安全服务公司奇安信的公开披露，其中详细说明了一次 BladeHawk 攻击，其操作方式类似，在使用 C&C 服务器、888 RAT 方面以及通过 Facebook 分发恶意软件方面类似。

此外，Android 888 RAT 还与另外两个有组织的黑客活动相关联——一个是伪装成 TikTok 的间谍软件，以及由 Kasablanca Group 进行的信息收集活动。