Pesquisador descobre uma campanha de espionagem contra usuários de Android

Especialista alerta que os invasores espalham aplicativos maliciosos por meio de seis perfis do Facebook que visavam principalmente o grupo étnico curdo

Compartilhar:

A ESET identificou uma campanha de espionagem voltada para dispositivos móveis que tem como alvo o grupo étnico curdo. Esta campanha está ativa desde pelo menos março de 2020, distribuindo (através de perfis do Facebook) dois backdoors Android (conhecidos como 888 RAT e SpyNote) disfarçados de aplicativos legítimos.

 

Esses perfis pareciam compartilhar notícias relacionadas ao Android em idioma curdo e notícias para apoiadores da etnia. Alguns desses perfis também espalharam deliberadamente aplicativos espiões em grupos públicos do Facebook, promovendo conteúdo pró-curdo.

 

A empresa identificou e reportou ao Facebook seis perfis que compartilhavam aplicativos espiões do Android como parte desta campanha, conduzida pelo grupo BladeHawk. Após o relato, esses perfis foram removidos por parte da rede social. Todos esses perfis foram criados em 2020 e, logo após sua criação, eles começaram a distribuir esses aplicativos falsos. Apenas uma das contas tinha outro conteúdo além dos RATs para Android disfarçados de aplicativos legítimos.

 

“Reportamos esses perfis ao Facebook e todos foram removidos. Dois deles eram voltados para usuários de tecnologia, enquanto os outros quatro se apresentavam como apoiadores curdos”, disse o pesquisador da ESET Lukas Stefanko, que investigou a campanha BladeHawk.

 

Esses perfis também foram responsáveis ​​por compartilhar aplicativos espiões em grupos públicos do Facebook, a maioria apoiadores de Masoud Barzani, ex-presidente da região do Curdistão. No total, os grupos-alvo têm mais de 11.000 seguidores.

 

Em um dos casos, ele detectou uma tentativa de capturar credenciais do Snapchat por meio de um site de phishing.

 

Esta atividade de espionagem descoberta pela ESET está diretamente relacionada a dois casos divulgados publicamente em 2020. Em um caso, o QiAnXin Threat Intelligence Center nomeou o grupo por trás dos ataques como BladeHawk, que a ESET adotou. Ambas as campanhas foram distribuídas através do Facebook, usando malware criado com ferramentas comerciais automatizadas (888 RAT e SpyNote), com todas as amostras do malware usando os mesmos servidores C&C.

 

“Essa campanha de espionagem está ativa desde março de 2020 e tem como objetivo único os dispositivos Android. O alvo era o grupo étnico curdo por meio de pelo menos 28 publicações maliciosas no Facebook que levariam as vítimas em potencial a baixar o 888 RAT para Android ou SpyNote. Em 2019, uma cópia descriptografada da versão Pro do construtor 888 RAT tornou-se disponível em alguns sites e, desde então, detectamos centenas de casos em todo o mundo usando o 888 RAT para Android.”, comenta Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Anatel abre consulta para habilitar avaliação de Segurança em aparelhos móveis

Medida visa aumentar a proteção de dados corporativos e dos consumidores, e as contribuições podem ser feitas até 29 de...
Security Report | Overview

Deepfakes: Os desafios da Era da Informação manipulada

Diversas situações cotidianas recentes demonstraram a necessidade de manter atenção redobrada aos deepfakes que circulam nas redes, devido a sua...
Security Report | Overview

Hacktivismo puxa aumento de ataques DDoS no Brasil, alerta especialista

Pesquisadores da Check Point Software voltam a alertar sobre a ascensão de ataques de hackers em nome de ideologias e...
Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...