Les agresseurs ont diffusé des applications malveillantes via six profils Facebook, qui ont été supprimés après qu’ESET en ait informé Facebook
Les chercheurs d’ESET ont enquêté sur une campagne d’espionnage mobile ciblée contre le groupe ethnique kurde. Cette campagne est active depuis au moins mars 2020, diffusant (via des profils Facebook dédiés) deux portes dérobées Android déguisées en applications légitimes, connues sous le nom de 888 RAT et SpyNote. Ces profils semblaient fournir des actualités en kurde et des actualités pour les partisans des Kurdes sur Android. ESET Research a identifié six profils Facebook diffusant des applications d’espionnage sur Android, dans le cadre de cette campagne menée par le groupe BladeHawk. Les profils ont transmis les applications d’espionnage à des groupes publics Facebook, la plupart étant des partisans de Masoud Barzani, ancien président de la région du Kurdistan, une région autonome du nord de l’Irak. Au total, les groupes Facebook ciblés comptent plus de 11 000 abonnés.
« Nous avons signalé ces profils à Facebook, qui ont tous été supprimés depuis. Deux des profils visaient des technophiles, tandis que les quatre autres se faisaient passer pour des partisans du Kurdistan, » explique Lukáš Štefanko, le chercheur d’ESET qui a enquêté sur cette campagne BladeHawk.
ESET Research a identifié 28 messages Facebook uniques dans le cadre de cette campagne BladeHawk. Chacun de ces messages contenait des descriptions et des liens vers de fausses applications à partir desquels les chercheurs d’ESET ont pu télécharger 17 APK uniques. Certains des liens web pointaient directement vers l’application APK malveillante, tandis que d’autres pointaient vers le service de téléchargement top4top.io, qui mesure le nombre de téléchargements. Les applications d’espionnage ont été téléchargées 1 418 fois.
La plupart des publications Facebook malveillantes conduisaient à des téléchargements de 888 RAT, un produit commercial multiplateforme disponible sur le marché noir depuis 2018. 888 RAT sur Android est capable d’exécuter 42 commandes émises par son serveur de commande et de contrôle (C&C). L’application peut voler et supprimer des fichiers d’un appareil, faire des captures d’écran, localiser l’appareil, récupérer les identifiants Facebook via des tentatives d’ hameçonnage, obtenir une liste des applications installées, voler les photos de l’utilisateur, prendre des photos, faire des enregistrements audio, enregistrer les appels téléphoniques, passer des appels, voler des SMS, voler la liste des contacts de l’appareil, et envoyer des messages texte.
Cette activité d’espionnage découverte par ESET Research est directement liée à deux cas signalés en 2020. Dans un des cas, le centre QiAnXin de renseignements sur les menaces a nommé le groupe à l’origine des attaques BladeHawk, nom qu’ESET a adopté. Les deux campagnes ont été diffusées via Facebook, à l’aide de logiciels malveillants développés via des outils commerciaux automatisés (888 RAT et SpyNote). Tous les échantillons de logiciels malveillants utilisent les mêmes serveurs de commande et de contrôle. Depuis 2018, les produits ESET ont identifié des centaines d’appareils Android infectés par 888 RAT.
Pour plus de détails techniques sur la toute dernière campagne BladeHawk, lisez l’article « BladeHawk group: Android espionage against Kurdish ethnic group » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Détection de 888 RAT par pays
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.