888 КРЫСА

888 RAT - это старая вредоносная угроза, которая впервые была выставлена на продажу на подпольных хакерских форумах в 2018 году. В то время она имела весьма ограниченную функциональность и использовалась только для устройств с Windows. Цена этой первоначальной версии была установлена на уровне 80 долларов.

Однако вскоре после этого разработчики 888 RAT выпустили расширенную версию Pro, способную заражать устройства Android. Позже была выпущена версия Extreme, и теперь ее можно было использовать для создания полезных нагрузок Linux. Эти версии были оценены в 150 и 200 долларов соответственно. В течение этого периода 888 RAT оставался в основном неиспользованным киберпреступными бандами. Все изменилось, когда версия Pro была взломана и выпущена бесплатно на нескольких сайтах.

Кампании 888 RAT Attack

Исследователям удалось обнаружить три отдельные кампании атак, в которых 888 RAT использовался как часть доставленных полезных данных. Один отслеживается с помощью Spy TikTok Pro, а другой - операция, приписываемая группе Kasablanka.Однако последняя атака была активна как минимум с марта 2020 года и конкретно нацелена на курдскую этническую группу. Злоумышленники использовали Android-версию 888 RAT для осуществления шпионской деятельности на взломанных устройствах. До сих пор эту кампанию приписывали кибергруппе под названием BladeHawk.

BladeHawk замаскировал 888 RAT и, в небольших случаях, другую вредоносную угрозу под названием SpyNote как законное приложение. В качестве первоначального вектора компромисса киберпреступники использовали специальные профили в Facebook, которые заманивали своих жертв, публикуя новости на курдском языке о событиях, имеющих отношение к сторонникам курдов. Они также распространяют ссылки, ведущие к дополнительным вооруженным приложениям, в публичные группы в Facebook с прокурдскими наклонностями. Исследователи подтвердили, что всего за пару постов в Facebook удалось зарегистрировать почти 1500 загрузок троянизированных приложений.

Функциональность

Версия 888 RAT для Android способна распознавать и выполнять 42 различных команды, которые она получает от сервера Command-and-Control (C&C, C2). Таким образом, угроза может выполнять широкий спектр гнусных действий на взломанных устройствах. Он оснащен основными функциями, ожидаемыми от угроз Android - манипулировать, собирать или удалять файлы, собирать фотографии, получать доступ к SMS-сообщениям, собирать список контактов устройства и создавать список всех установленных приложений.

Кроме того, 888 RAT может установить на устройстве множество программ шпионажа. К ним относятся создание произвольных снимков экрана, фотосъемка, отправка текстовых сообщений, выполнение звонков, запись окружающего звука и телефонных звонков, проводимых на устройстве, использование методов фишинга для сбора учетных данных жертвы в Facebook и многое другое.