MENA WATCH : ANDROID SPIONAGE GEGEN KURDEN / LUKAS STEFANK (WELIVE)

8.9.2021

BladeHawk Gruppe

ESET-Forscher haben eine gezielte Spionagekampagne über Android-Apps untersucht, die sich gegen Kurden richtet.

Diese Kampagne ist mindestens seit März 2020 im Gange und verbreitet die Android-Backdoors 888 RAT und SpyNote, die als legitime Apps getarnt sind. Die Verbreitung erfolgt über legitime Facebook-Profile, die News zu Android und für die kurdische Community und ihre Unterstützer veröffentlichen. Einige der Profile verbreiten absichtlich weitere Spionage-Apps in öffentlichen Facebook-Gruppen mit pro-kurdischen Inhalten. Daten von einer Download-Seite weisen auf mindestens 1.481 Downloads von URLs hin, die mit nur wenigen Facebook-Posts beworben wurden.

Der neu entdeckte Android 888 RAT (engl. Remote Access Trojan) wurde in der Vergangenheit von der Kasablanka-Gruppe und von BladeHawk genutzt. Beide verwendeten andere Namen für die gleiche Android-RAT – LodaRAT bzw. Gaza007.

Android-Spionage durch BladeHawk

Die hier beschriebenen Spionageaktivitäten stehen in direktem Zusammenhang zu zwei im Jahr 2020 veröffentlichten Fällen. Das QiAnXin Threat Intelligence Center gab der Gruppe hinter diesen Angriffen den Namen BladeHawk, den wir ebenfalls verwenden. Beide Kampagnen nutzten Facebook zur Verbreitung der Malware, die mit kommerziellen, automatisierten Tools (888 RAT und SpyNote) erstellt wurde. Dabei verwendeten die Malware-Proben dieselben C&C-Server.

Verbreitung

Im Rahmen dieser BladeHawk-Kampagne haben wir sechs Facebook-Profile identifiziert, über die Android-Spionage-Apps verteilt wurden. Wir haben diese Profile an Facebook gemeldet, worauf sie alle entfernt wurden. Zwei der Profile richteten sich an Technikinteressierte, während sich die anderen vier als Unterstützer der kurdischen Sache ausgaben. Alle Profile wurden im Jahr 2020 erstellt und begannen kurz nach der Erstellung mit der Veröffentlichung der Fake-Apps. Alle Konten, außer einem, haben in der Zeit ihrer Existenz nur als vermeintlich legitime Apps getarnte Android-RATs veröffentlicht.

Die Profile sind auch dafür verantwortlich für die Veröffentlichung von Spionage-Apps in öffentlichen Facebook-Gruppen, die meistens Masoud Barzani, den ehemaligen Präsidenten der Region Kurdistan, unterstützten; Abbildung 1 zeigt dafür ein Beispiel. Insgesamt hatten die ins Visier genommenen Gruppen über 11.000 Follower.

In einem Fall entdeckten wir einen Versuch (Abbildung 2), Snapchat-Anmeldeinformationen auf einer Phishing-Website zu erfassen (Abbildung 3).Im Rahmen dieser BladeHawk-Kampagne haben wir 28 einzelne Posts identifiziert. Jeder dieser Beiträge enthielt gefälschte App-Beschreibungen und Links zum Herunterladen einer App. Wir konnten darüber 17 einzelne APK-Installationsdateien herunterladen. Einige der APK-Weblinks wiesen direkt auf die bösartige App hin, während andere auf den Drittanbieter-Upload-Dienst top4top.io verwiesen, der die Anzahl der Dateidownloads angibt (siehe Abbildung 4). Aus diesem Grund haben wir die Gesamtzahl der Downloads von top4top.io für diese acht Apps erhalten. Die acht Apps wurden vom 20.07.2020 bis zum 28.06.2021 insgesamt 1.481-mal heruntergeladen.

Malware-Proben

Unseres Wissens zielte diese Kampagne nur auf Android-Benutzer ab. Dabei konzentrierten sich die Akteure auf zwei kommerzielle Android-RAT-Tools, 888 RAT und SpyNote. Von letzterem haben wir bei unserer Recherche nur eine Probe gefunden. Da es mit einem alten, bereits analysierten SpyNote-Builder erstellt wurde, liefern wir hier nur die Analyse der 888 RAT-Samples.

Android 888 RAT

Dieser kommerzielle, plattformübergreifende RAT wurde ursprünglich nur für das Windows-Ökosystem für 80 US-Dollar vertrieben. Im Juni 2018 wurde er in der Pro-Version um die zusätzliche Fähigkeit zum Erstellen von Android-RATs (150 US-Dollar) erweitert. Später konnte die Extreme-Version der Plattform auch Linux-Nutzlasten erstellen (zum Preis von 200 US-Dollar).

Er wurde über die Website des Entwicklers unter 888-tools[.]com verkauft (siehe Abbildung 5).Im Jahr 2019 wurde die Pro-Version (Windows und Android) gecrackt (siehe Abbildung 6) und auf einigen Websites kostenlos zur Verfügung gestellt. des 8Die 888 RAT wurde bisher nicht direkt im Zusammenhang mit organisierten Kampagnen beobachtet; dies ist das erste Mal, dass der RAT einer Cyberspionage-Gruppe zugewiesen wurde.

Nach dieser Entdeckung konnten wir den Android 888 RAT mit zwei weiteren organisierten Kampagnen in Zusammenhang bringen: Spy TikTok Pro, die hier beschrieben wird, und mit einer Kampagne der Kasablanka Group.

FunktionenDer Android 888 RAT kann 42 von seinem C&C-Server empfangene Befehle ausführen, die in Tabelle 1 beschrieben werden.

Kurz gesagt, es kann Dateien von einem Gerät stehlen und löschen, Screenshots machen, den Gerätestandort abrufen, Facebook-Anmeldeinformationen phishen, eine Liste der installierten Apps abrufen, Benutzerfotos stehlen, Fotos aufnehmen, Audio- und Telefonanrufe aufzeichnen, Anrufe tätigen, SMS-Nachrichten und die Telefonkontakte auf dem Gerät stehlen usw.Der Builder wird auch als Command- und Control-Server (C&C) genutzt, um alle kompromittierten Geräte zu steuern. Er verwendet dynamisches DNS, um von ihnen erreicht zu werden.