Anzeige

Facebook Hacker

Quelle: DANIEL CONSTANTE / Shutterstock.com

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888 RAT und SpyNote bekannt sind.

Mit diesen Profilen werden ausschließlich Kurden in ihrer Sprache angeschrieben. Insgesamt identifizierten die ESET-Forscher sechs Facebook-Profile, die Android-Spionage-Apps von der BladeHawk-Gruppe durchgeführten Kampagne verbreiteten. Über öffentliche Facebook-Gruppen haben die Konten die Ausspähprogramme in Umlauf gebracht. Hierbei wurden hauptsächlich Unterstützer von Masoud Barzani kontaktiert, dem ehemaligen Präsidenten der Region Kurdistan, einer autonomen Region im Nordirak. Insgesamt haben die betroffenen Facebook-Gruppen über 11.000 Anhänger. Die Analyse zu den Aktivitäten der BladeHawk-Gruppe ist auf WeliveSecurity verfügbar.

"Wir haben diese Profile an Facebook gemeldet und sie wurden alle entfernt. Zwei davon richteten sich an Tech-Nutzer, während die anderen vier sich als Kurden-Unterstützer ausgaben", sagt ESET-Forscher Lukás Stefanko, der die BladeHawk-Kampagne untersucht.

Facebook-Posts sollen zum Klick auf einen Link verleiten

ESET Research identifizierte 28 einzigartige Facebook-Posts als Teil der BladeHawk-Kampagne. Jeder dieser Posts enthielt gefälschte App-Beschreibungen und Links, von denen die ESET-Forscher 17 einzelne APKs herunterladen konnten. Einige der APK-Web-Links verwiesen direkt auf die bösartige App, während andere auf einen Drittanbieter-Upload-Dienst führten, der die Download-Anzahl registrierte. Allein hier wurden die Spionage-Apps 1.418mal heruntergeladen.

Die meisten der hinterhältigen Facebook-Posts führten zu Downloads des kommerziellen, plattformübergreifenden 888 RAT, das seit 2018 auf dem Schwarzmarkt erhältlich ist. Die Spionage-App ist in der Lage, 42 Befehle auszuführen, die es von seinem Command-and-Control-Server (C&C) erhält. Es kann Dateien von einem Gerät stehlen und löschen, Screenshots erstellen, den Standort des Geräts ermitteln, Facebook-Anmeldedaten fälschen, eine Liste der installierten Apps abrufen, Benutzerfotos stehlen, Fotos aufnehmen, Umgebungsgeräusche und Telefonanrufe aufzeichnen, Anrufe tätigen, SMS-Nachrichten sowie die Kontaktliste des Geräts stehlen und Textnachrichten senden.

Zusammenhang mit anderen Fällen

Diese von den ESET-Forschern entdeckte Spionageaktivität steht in direktem Zusammenhang mit zwei im Jahr 2020 öffentlich bekannt gewordenen Fällen. Das QiAnXin Threat Intelligence Center gab der Gruppe hinter den Angriffen den Namen BladeHawk. Um Verwechslungen zu vermeiden, hat ESET die Bezeichnung übernommen. Beide Kampagnen wurden über Facebook verbreitet, wobei Malware verwendet wurde, die mit kommerziellen, automatisierten Tools (888 RAT und SpyNote) erstellt wurde. Alle eingesetzten Varianten der Schad-App nutzten dieselben C&C-Server.

Weitere technische Details zur jüngsten BladeHawk-Kampagne gibt es im Blogbeitrag auf WeLiveSecurity.

www.eset.com/de


Weitere Artikel

Bitcoin Smartphone

iPhone-Krypto-Betrug eskaliert nun auch in Europa

Neue Erkenntnisse von Sophos deuten darauf hin, dass der internationale Cyber-Betrug mit Kryptowährung eskaliert. Cyberkriminelle nutzen beliebte Dating-Apps wie Tinder und Bumble, um iPhones von arglosen Nutzern:innen für ihre betrügerischen Machenschaften…
Hacker

Wenn Prometheus das Feuer stiehlt

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen…
Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…
Ransomware

1 von 5 Unternehmen war schon Opfer von Ransomware

Eine kürzlich durchgeführte Umfrage der Cybersecurity-Experten von Hornetsecurity unter mehr als 820 Unternehmen ergab, dass 21 % der Befragten bereits Opfer eines Ransomware-Angriffs wurden. Ransomware ist eine der häufigsten und effektivsten Formen der…
Cybercrime

NSA warnt vor Wildcard-Zertifikaten und Alpaca-Angriffen

Die NSA hat Anfang Oktober eine Warnung und Anleitung herausgegeben, wie sich Unternehmen vor Alpaca-Angriffen schützen können, indem sie ihre Wildcard-Zertifikate besser kontrollieren. Die NSA warnt vor dem neuen Application Layer Protocol Content Confusion…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.