מחקר: התגלתה נוזקת ריגול אחר מטרות כורדיות
מאת:
מערכת Telecom News, 12.9.21, 23:03
התוקפים הפיצו את האפליקציות הזדוניות לאנדרואיד באמצעות 6 פרופילים מזויפים בפייסבוק.
חוקרי חברת אבטחת המידע
ESET חקרו קמפיין ריגול ממוקד נגד מטרות כורדיות. הקמפיין פעיל מאז מרץ 2020 לפחות, הופץ באמצעות פרופילים ייעודים למטרה הזו בפייסבוק והפיץ 2 דלתות אחוריות לאנדרואיד הידועות בשמות 888
RAT ו-
SpyNote.
2 הפרופילים המזויפים סיפקו חדשות בשפה הכורדית וחדשות לתומכי הכורדים. בחברה זיהו 6 פרופילים של פייסבוק המפיצים אפליקציות ריגול לאנדרואיד כחלק מהקמפיין הזה, שערכה קבוצת
BladeHawk.
הפרופילים שיתפו את אפליקציות הריגול באמצעות קבוצות של תומכי
מסעוד ברזאני, לשעבר נשיא אזור כורדיסטן. בסה"כ לקבוצות הפייסבוק הממוקדות יש למעלה מ-11 אלף עוקבים.
כחלק מהקמפיין זוהו 28 פוסטים ייחודיים בפייסבוק כאשר כל אחד מהם הכיל תיאורי אפליקציות וקישורים מזויפים מהם הצליחו חוקרי החברה להוריד 17 חבילות
APK ייחודיות. חלק מקישורי ה-
APK הצביעו ישירות על האפליקציה הזדונית, ואילו האחרים הצביעו על שירות ההעלאות של צד שלישי
top4top.io העוקב אחר מספר הורדות קבצים. אפליקציות הריגול הורדו 1,418 פעמים.
רב הפוסטים הזדוניים בפייסבוק הובילו להורדת 888
RAT, שזמין בשוק השחור מאז 2018. האנדרואיד 888
RAT מסוגל לבצע 42 פקודות, שהתקבלו משרת הפיקוד והבקרה (
C&
C) שלו. הוא יכול לגנוב ולמחוק קבצים מהמכשיר, לצלם צילומי מסך, לקבל מיקום של המכשיר, לדוג מידע מחשבון הפייסבוק ולקבל רשימת אפליקציות מותקנות, לבצע שיחות, לגנוב את רשימת אנשי הקשר של המכשיר ולשלוח אסמסים.
שיעור האיתורים של אנדרואיד
888 RAT לפי מדינות:
המחקר המלא -
כאן.