888 RAT

O 888 RAT é uma antiga ameaça de malware que foi colocada à venda pela primeira vez nos fóruns de hackers clandestinos em 2018. Naquela época, ele tinha uma funcionalidade muito limitada e era usado para atingir apenas os dispositivos Windows. O preço desta versão inicial foi fixado em $80.

No entanto, logo depois, os desenvolvedores do 888 RAT lançaram uma versão Pro expandida, que era capaz de infectar os dispositivos Android. Posteriormente, uma versão Extreme também foi lançada a qual poderia ser usada para a criação de cargas úteis do Linux. Essas versões custavam US $150 e US $200, respectivamente. Durante esse período, o 888 RAT permaneceu praticamente inutilizado pelas gangues cibercriminosas. Tudo isso mudou quando a versão Pro foi quebrada e lançada gratuitamente em vários sites.

As Campanhas de Ataque do 888 RAT

Os pesquisadores conseguiram detectar três campanhas de ataque separadas que usaram o 888 RAT como parte das cargas úteis entregues. Uma é rastreada pelo Spy TikTok Pro, enquanto outra é uma operação atribuída ao grupo Kasablanka.No entanto, o último ataque está ativo desde pelo menos março de 2020 e tem como alvo específico o grupo étnico curdo. Os invasores implantaram a versão Android do 888 RAT para realizar atividades de espionagem nos dispositivos comprometidos. Até agora, a campanha foi atribuída a um cyber gangue rastreada sob o nome de BladeHawk.

O BladeHawk disfarçou o 888 RAT e, em pequenas instâncias, uma ameaça de malware diferente chamada SpyNote como um aplicativo legítimo. Como um vetor de compromisso inicial, os cibercriminosos usaram perfis dedicados do Facebook que atraíram suas vítimas postando notícias em curdo sobre eventos relevantes para os simpatizantes dos curdos. Eles também espalham links que levam a aplicativos adicionais como arma para grupos públicos do Facebook com tendências pró-curdos. Os pesquisadores confirmaram que apenas alguns posts de iscas no Facebook conseguiram registrar quase 1.500 downloads de aplicativos trojanizados.

Funcionalidade

A versão Android do 888 RAT é capaz de reconhecer e executar 42 comandos diferentes que recebe de um servidor de Comando-e-Controle (C&C, C2). Como tal, a ameaça pode realizar uma ampla gama de atividades nefastas nos dispositivos violados. É equipado com as funções básicas esperadas de uma ameaça Android - manipular, coletar ou excluir arquivos, reunir fotos, acessar mensagens SMS, coletar a lista de contatos do dispositivo e gerar uma lista de todos os aplicativos instalados.

Além disso, o 888 RAT pode estabelecer várias rotinas de espionagem no dispositivo. Isso inclui fazer capturas de tela arbitrárias, tirar fotos, enviar mensagens de texto, fazer chamadas, gravar o áudio circundante e as chamadas telefônicas conduzidas no dispositivo, empregar técnicas de phishing para coletar as credenciais da vítima no Facebook e muito mais.