ESET Forscher haben eine gezielte mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 aktiv und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888 RAT und SpyNote bekannt sind. Mit diesen Profilen gezielt Kurden in ihrer Sprache angeschrieben. Insgesamt identifizierten die ESET Forscher sechs Facebook-Profile, die Android-Spionage-Apps als Teil dieser von der BladeHawk-Gruppe durchgeführten Kampagne verbreiteten. Über öffentliche Facebook-Gruppen haben die Konten die Spionage-Apps verbreitet. Hierbei wurden hauptsächlich Unterstützer von Masoud Barzani angeschrieben, dem ehemaligen Präsidenten der Region Kurdistan, einer autonomen Region im Nordirak. Insgesamt haben die betroffenen Facebook-Gruppen über 11.000 Anhänger. Ihre Analyse zu den Aktivitäten der BladeHawk-Gruppe ist auf WeliveSecurity verfügbar.
„Wir haben diese Profile an Facebook gemeldet, und sie wurden alle entfernt. Zwei der Profile richteten sich an Tech-Nutzer, während die anderen vier sich als Kurden-Unterstützer ausgaben“, sagt ESET Forscher Lukáš Štefanko, der die BladeHawk-Kampagne untersucht.
Facebook-Posts sollen zum Klick auf einen Link verleiten
ESET Research identifizierte 28 einzigartige Facebook-Posts als Teil der BladeHawk-Kampagne. Jeder dieser Posts enthielt gefälschte App-Beschreibungen und Links, von denen die ESET Forscher 17 einzelne APKs herunterladen konnten. Einige der APK-Web-Links verwiesen direkt auf die bösartige App, während andere auf einen Drittanbieter-Upload-Dienst führten, der die Download-Anzahl registrierte. Allein hier wurden die Spionage-Apps 1.418mal heruntergeladen.
Die meisten der bösartigen Facebook-Posts führten zu Downloads des kommerziellen, plattformübergreifenden 888 RAT, das seit 2018 auf dem Schwarzmarkt erhältlich ist. Die Spionage-App ist in der Lage, 42 Befehle auszuführen, die es von seinem Command-and-Control-Server (C&C) erhält. Es kann Dateien von einem Gerät stehlen und löschen, Screenshots erstellen, den Standort des Geräts ermitteln, Facebook-Anmeldedaten fälschen, eine Liste der installierten Apps abrufen, Benutzerfotos stehlen, Fotos aufnehmen, Umgebungsgeräusche und Telefonanrufe aufzeichnen, Anrufe tätigen, SMS-Nachrichten stehlen, die Kontaktliste des Geräts stehlen und Textnachrichten senden.
Zusammenhang zu anderen Fällen
Diese von den ESET Forschern entdeckte Spionageaktivität steht in direktem Zusammenhang mit zwei im Jahr 2020 öffentlich bekannt gewordenen Fällen. In einem Fall gab das QiAnXin Threat Intelligence Center der Gruppe hinter den Angriffen den Namen BladeHawk. Um Verwechslungen zu vermeiden hat ESET die Bezeichnung übernommen. Beide Kampagnen wurden über Facebook verbreitet, wobei Malware verwendet wurde, die mit kommerziellen, automatisierten Tools (888 RAT und SpyNote) erstellt wurde. Alle eingesetzten Varianten der Schad-App nutzten dieselben C&C-Server.
Weitere technische Details zur jüngsten BladeHawk-Kampagne gibt es im Blogbeitrag auf WeLiveSecurity: www.welivesecurity.com/deutsch/2021/09/08/bladehawk-gruppe-android-spionage-gegen-kurden/