La etnia kurda ha sido objetivo de una campaña de espionaje móvil que habría estado activa desde marzo de 2020 y habría sido realizada por el grupo BladeHawk. Este colectivo distribuía mediante perfiles de la red social Facebook dos backdoors para Android conocidos como 888 RAT y SpyNote que estaban camuflados como aplicaciones legítimas.
Los perfiles aparentemente ofrecían noticias de Android en kurdo para los partidarios de este colectivo. Estos compartieron las apps de espionaje en grupos públicos de la plataforma de Mark Zuckerberg con más de 11.000 seguidores, la mayoría de los cuales eran partidarios de Masoud Barzani, expresidente de la región del Kurdistán, una región autónoma en el norte de Irak.
El hallazgo ha sido realizado por la compañía de antivirus ESET. ESET Research encontró hasta 28 posts en Facebook que formaban parte de la campaña. Cada publicación albergaba descripciones de apps falsas y links que llevaban a 17 APKs únicos. Los enlaces apuntaban tanto a aplicaciones maliciosas directamente como al almacén de descargas de terceros top4top.
Según pudo contabilizar ESET, las apps de espionaje llegaron a instalarse en 1.418 ocasiones.
Objetivo: el control remoto
La mayoría de los posts malintencionados conducían a descargas de la RAT (herramienta de control remoto) comercial y multiplataforma 888, que se puede encontrar en el mercado negro desde 2018. Android 888 RAT es capaz de ejecutar 42 comandos recibidos desde su servidor de mando y control (C&C).
Puede robar y eliminar archivos de un dispositivo, hacer capturas de pantalla, obtener la ubicación del dispositivo, suplantar las credenciales de Facebook, obtener una lista de aplicaciones instaladas, robar fotos del usuario, tomar fotos, grabar el audio circundante y las llamadas telefónicas, hacer llamadas, robar mensajes SMS, robar la lista de contactos del dispositivo y enviar mensajes de texto.
"Denunciamos estos perfiles a Facebook y todos han sido retirados. Dos de los perfiles estaban dirigidos a usuarios de tecnología, mientras que los otros cuatro se hacían pasar por simpatizantes de los kurdos", explica el investigador de ESET Lukáš Štefanko, que se encargó de destapar esta campaña de BladeHawk.
No es la primera vez que BladeHawk lleva a cabo campañas de este tipo. En 2020 se tuvo constancia de otras dos amenazas que también se distribuyeron mediante Facebook, usando malware que fue construido con herramientas comerciales y automatizadas.