888 RATO

L'888 RAT è una vecchia minaccia malware che è stata messa in vendita per la prima volta sui forum di hacker sotterranei nel 2018. All'epoca, aveva funzionalità molto limitate e veniva utilizzata solo per prendere di mira i dispositivi Windows. Il prezzo di questa versione iniziale era fissato a 80 dollari.

Tuttavia, poco dopo, gli sviluppatori di 888 RAT hanno rilasciato una versione Pro estesa in grado di infettare i dispositivi Android. Successivamente, è stata rilasciata anche una versione Extreme e ora potrebbe essere utilizzata per la creazione di payload Linux. Queste versioni hanno un prezzo rispettivamente di $ 150 e $ 200. Durante questo periodo, l'888 RAT è rimasto in gran parte inutilizzato dalle bande di criminali informatici. Tutto ciò è cambiato quando la versione Pro è stata craccata e rilasciata gratuitamente su diversi siti web.

Campagne di 888 RAT Attack

I ricercatori sono riusciti a rilevare tre diverse campagne di attacco che hanno utilizzato l'888 RAT come parte dei payload consegnati. Uno è tracciato sotto Spy TikTok Pro mentre un altro è un'operazione attribuita al gruppo Kasablanka.Tuttavia, l'ultimo attacco è attivo almeno da marzo 2020 e prende di mira specificamente il gruppo etnico curdo. Gli aggressori hanno utilizzato la versione Android dell'888 RAT per svolgere attività di spionaggio sui dispositivi compromessi. Finora, la campagna è stata attribuita a una cybergang tracciata sotto il nome di BladeHawk.

BladeHawk ha mascherato l'888 RAT e, in piccoli casi, una diversa minaccia malware denominata SpyNote come un'applicazione legittima. Come vettore di compromesso iniziale, i criminali informatici hanno utilizzato profili Facebook dedicati che attiravano le loro vittime pubblicando notizie in curdo su eventi rilevanti per i sostenitori dei curdi. Diffondono anche collegamenti che portano a ulteriori applicazioni armate a gruppi di Facebook pubblici con inclinazioni pro-curde. I ricercatori hanno confermato che solo un paio di post di Facebook esca sono riusciti a registrare quasi 1.500 download di applicazioni trojanizzate.

Funzionalità

La versione Android dell'888 RAT è in grado di riconoscere ed eseguire 42 diversi comandi che riceve da un server Command-and-Control (C&C, C2). In quanto tale, la minaccia può eseguire una vasta gamma di attività nefaste sui dispositivi violati. È dotato delle funzioni di base previste da una minaccia Android: manipolare, raccogliere o eliminare file, raccogliere foto, accedere a messaggi SMS, raccogliere l'elenco dei contatti del dispositivo e generare un elenco di tutte le applicazioni installate.

Inoltre, l'888 RAT può stabilire numerose routine di spionaggio sul dispositivo. Questi includono l'acquisizione di screenshot arbitrari, lo scatto di foto, l'invio di messaggi di testo, l'esecuzione di chiamate, la registrazione dell'audio circostante e le telefonate effettuate sul dispositivo, l'utilizzo di tecniche di phishing per raccogliere le credenziali di Facebook della vittima e altro ancora.