De fausses applications Android sont déployées sur les téléphones des Kurdes dans le cadre d’une campagne d’espionnage promue sur Facebook et d’autres réseaux sociaux. Même si les chercheurs qui ont dévoilé cet espionnage ne disent pas qui sont ces espions, on pense tout de suite à la Turquie et l’Iran qui mènent une répression anti-kurde sur tous les fronts: militaire, culturel, technologique, etc.
Les chercheurs d’ESET ont enquêté sur une campagne d’espionnage mobile ciblant les comptes kurdes. Cette campagne est active depuis au moins mars 2020, distribuant (via des profils Facebook) deux portes dérobées Android connues sous le nom de 888 RAT et SpyNote, déguisées en applications légitimes. Ces profils semblaient fournir des nouvelles d’Android en kurde et des nouvelles pour les partisans des Kurdes. Certains des profils diffusent délibérément des applications d’espionnage supplémentaires à des groupes publics Facebook avec du contenu pro-kurde. Les données d’un site de téléchargement indiquent au moins 1 481 téléchargements à partir d’URL promues dans quelques publications Facebook.
Les chercheurs ont identifié six profils Facebook connectés à BladeHawk au moment de la rédaction, qui ont tous été supprimés.
Pendant qu’ils étaient actifs, ces profils se sont fait passer pour des individus dans l’espace technologique et en tant que partisans kurdes afin de partager des liens vers les applications malveillantes du groupe.
Espionnage Android BladeHawk
L’activité d’espionnage rapportée ici est directement liée à deux cas divulgués publiquement et publiés en 2020. Le QiAnXin Threat Intelligence Center a nommé le groupe derrière ces attaques BladeHawk, que nous avons adopté. Les deux campagnes ont été diffusées via Facebook, à l’aide de logiciels malveillants créés à l’aide d’outils commerciaux automatisés (888 RAT et SpyNote), tous les échantillons de logiciels malveillants utilisant les mêmes serveurs C&C.
ESET dit qu’au minimum, les applications – hébergées sur des sites Web tiers, plutôt que sur Google Play – ont été téléchargées 1 481 fois.
Les fausses applications de BladeHawk ont été promues en tant que services d’information pour la communauté kurde. Cependant, ils hébergent 888 RAT et SpyNote, deux chevaux de Troie d’accès à distance (RAT) basés sur Android qui permettent aux attaquants d’espionner leurs victimes.
SpyNote n’a été trouvé que dans un échantillon, et il semble donc que 888 RAT soit actuellement la charge utile principale de BladeHawk. Le cheval de Troie commercial, dont une version crackée et gratuite est disponible en ligne depuis 2019, est capable d’exécuter un total de 42 commandes une fois exécutées sur un appareil cible et une connexion au serveur de commande et de contrôle (C2) de l’attaquant est établi.
Les fonctions du cheval de Troie incluent la prise de captures d’écran et de photos ; exfiltrer des fichiers et les envoyer à un C2 ; suppression de contenu, enregistrement audio et surveillance des appels téléphoniques ; l’interception et le vol ou l’envoi de messages SMS ; numériser les listes de contacts ; voler des données de localisation GPS; et l’exfiltration des identifiants de Facebook, entre autres fonctions.
Les chercheurs disent que le RAT peut également être lié à deux autres campagnes : une campagne de surveillance documentée par Zscaler qui se propage via une application malveillante et fausse TikTok Pro, et Kasablanca, des acteurs malveillants suivis par Cisco Talos qui se concentrent également sur le cyberespionnage.
Via ZDnet