针对库尔德民族的Android间谍活动曝光,通过FaceBook分发恶意程序

针对库尔德民族的Android间谍活动曝光,通过FaceBook分发恶意程序

网络安全研究人员周二发布了新的调查结果,揭示了针对西亚地区库尔德民族的为期一年的移动端间谍活动,目的是部署两个伪装成合法应用程序的 Android 后门。

至少从 2020 年 3 月开始,这些攻击利用了多达 6 个FaceBook账户来发布亲库尔德的内容,其中两个针对 Android 用户,而其他四个似乎为库尔德支持者提供新闻,这些只是为了分享间谍程序的链接。此后,所有六个FaceBook账户都已被删除。

ESET 研究员 Lukas Stefanko说:“至少有28个恶意的Facebook帖子针对库尔德民族,这些帖子会导致潜在受害者下载 Android 888 RAT 或 SpyNote间谍程序。”“大多数恶意引导的 Facebook 帖子都产生 888 RAT 恶意程序的下载,该软件自 2018 年以来一直在黑市上流行。”

根据极牛网GEEKNB.COM小编的梳理,运营商分享了一篇 Facebook 帖子的案例,通过引导用户下载“新的 Snapchat”应用程序,该应用程序旨在通过网络钓鱼网站捕获 Snapchat 用户凭据,共有 28 个 Facebook 钓鱼帖子中包含完整的虚假应用程序描述和下载 Android 应用程序的链接,从中提取了 17 个Android APK 样本。从 2020 年 7 月 20 日到 2021 年 6 月 28 日,间谍应用程序被下载了 1481 次。

针对库尔德民族的Android间谍活动曝光,通过FaceBook分发恶意程序

无论安装了何种应用程序,感染链都会在部署 888 RAT 时达到高潮。最初被设想为价格为 80 美元的 Windows 远程访问木马 (RAT),攻击载荷中添加的新功能使其能够分别针对 Android 和 Linux 系统以 150 美元(专业版)和 200 美元(极限版)的价格进行出售。

商业 RAT 远程访问木马运行的间谍软件,因为它可以运行从其命令和控制 (C&C) 服务器接收的 42 个命令。它的一些突出功能包括从设备中窃取和删除文件、截取屏幕截图、收集设备位置、刷 Facebook 凭据、获取已安装应用程序列表、收集用户照片、拍照、记录周围的音频和电话、拨打电话、窃取 SMS 消息和联系人列表,以及发送短信。

根据极牛网GEEKNB.COM小编的梳理,从 2018 年 8 月 18 日开始的三年期间,印度、乌克兰和英国的感染人数最多,其中罗马尼亚、荷兰、巴基斯坦、伊拉克、俄罗斯、埃塞俄比亚和墨西哥位居前 10 名。

间谍活动与 2020 年曝光的另外两起事件直接相关,包括网络安全服务公司奇安信的公开披露,其中详细说明了一次 BladeHawk 攻击,其操作方式类似,在使用 C&C 服务器、888 RAT 方面以及通过 Facebook 分发恶意软件方面类似。

此外,Android 888 RAT 还与另外两个有组织的黑客活动相关联——一个是伪装成 TikTok 的间谍软件,以及由 Kasablanca Group 进行的信息收集活动。

 

针对库尔德民族的Android间谍活动曝光,通过FaceBook分发恶意程序

极牛网精选文章《针对库尔德民族的Android间谍活动曝光,通过FaceBook分发恶意程序》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16223.html

(28)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2021年9月8日 上午11:42
下一篇 2021年9月8日 下午5:48

相关推荐

发表回复

登录后才能评论