A ESET identificou uma campanha de espionagem voltada para dispositivos móveis que tem como alvo o grupo étnico curdo. Esta campanha está ativa desde pelo menos março de 2020, distribuindo (através de perfis do Facebook) dois backdoors Android (conhecidos como 888 RAT e SpyNote) disfarçados de aplicativos legítimos.
Esses perfis pareciam compartilhar notícias relacionadas ao Android em idioma curdo e notícias para apoiadores da etnia. Alguns desses perfis também espalharam deliberadamente aplicativos espiões em grupos públicos do Facebook, promovendo conteúdo pró-curdo.
A empresa identificou e reportou ao Facebook seis perfis que compartilhavam aplicativos espiões do Android como parte desta campanha, conduzida pelo grupo BladeHawk. Após o relato, esses perfis foram removidos por parte da rede social. Todos esses perfis foram criados em 2020 e, logo após sua criação, eles começaram a distribuir esses aplicativos falsos. Apenas uma das contas tinha outro conteúdo além dos RATs para Android disfarçados de aplicativos legítimos.
“Reportamos esses perfis ao Facebook e todos foram removidos. Dois deles eram voltados para usuários de tecnologia, enquanto os outros quatro se apresentavam como apoiadores curdos”, disse o pesquisador da ESET Lukas Stefanko, que investigou a campanha BladeHawk.
Esses perfis também foram responsáveis por compartilhar aplicativos espiões em grupos públicos do Facebook, a maioria apoiadores de Masoud Barzani, ex-presidente da região do Curdistão. No total, os grupos-alvo têm mais de 11.000 seguidores.
Em um dos casos, ele detectou uma tentativa de capturar credenciais do Snapchat por meio de um site de phishing.
Esta atividade de espionagem descoberta pela ESET está diretamente relacionada a dois casos divulgados publicamente em 2020. Em um caso, o QiAnXin Threat Intelligence Center nomeou o grupo por trás dos ataques como BladeHawk, que a ESET adotou. Ambas as campanhas foram distribuídas através do Facebook, usando malware criado com ferramentas comerciais automatizadas (888 RAT e SpyNote), com todas as amostras do malware usando os mesmos servidores C&C.
“Essa campanha de espionagem está ativa desde março de 2020 e tem como objetivo único os dispositivos Android. O alvo era o grupo étnico curdo por meio de pelo menos 28 publicações maliciosas no Facebook que levariam as vítimas em potencial a baixar o 888 RAT para Android ou SpyNote. Em 2019, uma cópia descriptografada da versão Pro do construtor 888 RAT tornou-se disponível em alguns sites e, desde então, detectamos centenas de casos em todo o mundo usando o 888 RAT para Android.”, comenta Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
