专家揭露针对库尔德族群的手机间谍软件攻击

#网络安全研究人员周二发布了新发现，揭示了针对库尔德人的长达一年的移动间谍活动，部署了两个伪装成合法应用的Android后门

#至少从2020年3月开始活跃，这些攻击利用了多达六个专用Facebook个人资料，声称提供技术和亲库尔德内容—；其中两个针对安卓用户，另外四个似乎为库尔德支持者提供新闻—；只在公共Facebook群组上分享间谍应用程序的链接。此后，所有六份个人资料都已被删除

##“它通过至少28条恶意Facebook帖子针对库尔德人群体，这将导致潜在受害者下载安卓888 RAT或SpyNote，”ESET研究员卢卡斯·斯特凡科说。“Facebook上的大多数恶意帖子都导致了商业、多平台888 RAT的下载，该产品自2018年起就在黑市上销售。”

斯洛伐克网络安全公司将这些攻击归咎于一个名为BladeHawk的组织

#在一个例子中，运营商分享了一篇Facebook帖子，敦促用户下载一个“新snapchat”应用程序，该应用程序旨在通过网络钓鱼网站获取snapchat凭据。在最新的行动中，共有28条恶意Facebook帖子被确认为是其中的一部分，并附有虚假的应用程序描述和下载Android应用程序的链接，从中获得了17个独特的APK样本。间谍软件从2020年7月20日开始下载1481次，直到2021年6月28日。

#无论安装了哪种应用程序，感染链最终都会部署888 RAT。最初被认为是一款售价80美元的Windows远程访问特洛伊木马（RAT），植入的新功能使其能够以150美元（Pro）和200美元（Extreme）的额外成本针对Android和Linux系统

#商业RAT运行典型的间谍软件范围，因为它可以运行从其命令和控制（C&C）服务器接收到的42条命令。它的一些突出功能包括从设备上窃取和删除文件、截屏、收集设备位置、刷Facebook凭据、获取已安装应用程序列表、收集用户照片、拍照、录制周围的音频和电话、拨打电话、窃取短信和联系人列表，以及发送短信

#这起间谍活动与2020年曝光的另外两起事件直接相关，其中包括中国网络安全服务公司千信的一次公开披露，该公司详细描述了一次BladeHawk攻击，其手法与C&；C服务器、888 RAT，以及对Facebook的恶意软件分发依赖

#此外，安卓888 RAT还与另外两个有组织的活动相连—；其中包括伪装成TikTok的间谍软件和卡萨布兰卡集团进行的信息收集行动