888 RAT

De 888 RAT is een oude malwarebedreiging die in 2018 voor het eerst te koop werd aangeboden op ondergrondse hackerforums. Destijds had het een zeer beperkte functionaliteit en was het alleen gericht op Windows-apparaten. De prijs van deze eerste versie was vastgesteld op $ 80.

Kort daarna brachten de ontwikkelaars van 888 RAT echter een uitgebreide Pro-versie uit die Android-apparaten kon infecteren. Later werd er ook een Extreme-versie uitgebracht en die kon nu worden gebruikt voor het maken van Linux-payloads. Deze versies waren respectievelijk geprijsd op $ 150 en $ 200. Gedurende deze periode bleef de 888 RAT grotendeels ongebruikt door cybercriminele bendes. Dat veranderde allemaal toen de Pro-versie werd gekraakt en gratis op verschillende websites werd uitgebracht.

Campagnes van 888 RAT Attack

Onderzoekers zijn erin geslaagd om drie afzonderlijke aanvalscampagnes te detecteren die de 888 RAT gebruikten als onderdeel van de geleverde payloads. Een daarvan wordt gevolgd onder Spy TikTok Pro, terwijl een andere een operatie is die wordt toegeschreven aan de Kasablanka-groep.De laatste aanval is echter actief sinds ten minste maart 2020 en is specifiek gericht op de Koerdische etnische groep. De aanvallers hebben de Android-versie van de 888 RAT ingezet om spionageactiviteiten uit te voeren op de besmette apparaten. Tot nu toe is de campagne toegeschreven aan een cyberbende die werd gevolgd onder de naam BladeHawk.

BladeHawk vermomde de 888 RAT en, in kleine gevallen, een andere malwarebedreiging genaamd SpyNote als een legitieme toepassing. Als eerste compromismiddel gebruikten de cybercriminelen speciale Facebook-profielen die hun slachtoffers lokten door nieuws in het Koerdisch te plaatsen over gebeurtenissen die relevant waren voor de aanhangers van de Koerden. Ze verspreiden ook links die leiden naar extra bewapende applicaties naar openbare Facebook-groepen met pro-Koerdische neigingen. Onderzoekers hebben bevestigd dat slechts een paar aas Facebook-berichten erin zijn geslaagd om bijna 1.500 downloads van getrojaniseerde applicaties te registreren.

Functionaliteit

De Android-versie van de 888 RAT is in staat om 42 verschillende commando's te herkennen en uit te voeren die het ontvangt van een Command-and-Control (C&C, C2) server. Als zodanig kan de dreiging een breed scala aan snode activiteiten uitvoeren op de geschonden apparaten. Het is uitgerust met de basisfuncties die verwacht worden van een Android-bedreiging - bestanden manipuleren, verzamelen of verwijderen, foto's verzamelen, toegang krijgen tot sms-berichten, de lijst met contactpersonen van het apparaat oogsten en een lijst met alle geïnstalleerde applicaties genereren.

Bovendien kan de 888 RAT talloze spionageroutines op het apparaat opzetten. Deze omvatten het nemen van willekeurige screenshots, het maken van foto's, het verzenden van sms-berichten, het voeren van oproepen, het opnemen van de omringende audio en telefoongesprekken die op het apparaat worden gevoerd, het gebruik van phishing-technieken om de Facebook-inloggegevens van het slachtoffer te verzamelen en meer.