888 ПЛЪЧ

До Mezo през Malware, Mobile Malwareг

Превод на:

888 RAT е стара заплаха за зловреден софтуер, която за първи път беше предложена за продажба на подземни хакерски форуми през 2018 г. Тогава тя имаше далеч ограничена функционалност и се използваше за насочване само към устройства с Windows. Цената на тази първоначална версия беше определена на 80 долара.

Скоро след това разработчиците на 888 RAT пуснаха разширена Pro версия, която можеше да зарази устройства с Android. По -късно беше пусната и екстремна версия, която сега може да се използва за създаване на полезни натоварвания на Linux. Цените на тези версии бяха съответно 150 и 200 долара. През този период 888 RAT остава до голяма степен неизползвана от киберпрестъпни групировки. Всичко това се промени, когато версията Pro беше напукана и пусната безплатно на няколко уебсайта.

888 Кампании за атака на плъхове

Изследователите са успели да открият три отделни кампании за атака, които използват 888 RAT като част от доставения полезен товар. Единият се проследява под Spy TikTok Pro, докато друг е операция, приписвана на групата Kasablanka.Последната атака обаче е активна поне от март 2020 г. и е насочена конкретно към кюрдската етническа група. Нападателите разгърнаха Android версията на 888 RAT за извършване на шпионска дейност на компрометираните устройства. Досега кампанията се приписва на киберганда, проследена под името BladeHawk.

BladeHawk прикрива 888 RAT и в малки случаи различна заплаха от злонамерен софтуер, наречена SpyNote като законно приложение. Като първоначален компромисен вектор, киберпрестъпниците използваха специални профили във Facebook, които примамват жертвите си, като публикуват новини на кюрдски за събития, свързани с поддръжниците на кюрдите. Те също така разпространяват връзки, водещи до допълнителни оръжейни приложения, към обществени групи във Facebook с прокюрдски наклонности. Изследователите потвърдиха, че само няколко публикации във Facebook са примамки, които са успели да регистрират близо 1500 изтегляния на троянизирани приложения.

Функционалност

Версията за Android на 888 RAT е в състояние да разпознава и изпълнява 42 различни команди, които получава от сървър за управление и управление (C&C, C2). Като такава, заплахата може да извърши широк спектър от злобни дейности на повредените устройства. Той е оборудван с основните функции, очаквани от заплаха за Android - манипулиране, събиране или изтриване на файлове, събиране на снимки, достъп до SMS съобщения, събиране на списъка с контакти на устройството и генериране на списък с всички инсталирани приложения.

В допълнение, 888 RAT може да установи множество шпионски процедури на устройството. Те включват правене на произволни екранни снимки, правене на снимки, изпращане на текстови съобщения, осъществяване на повиквания, запис на околните аудио и телефонни разговори, провеждани на устройството, използване на фишинг техники за събиране на идентификационните данни на жертвата във Facebook и др.