888 RAT

888 RAT 是一种旧的恶意软件威胁，于 2018 年首次在地下黑客论坛上出售。当时，它的功能非常有限，仅用于针对 Windows 设备。这个初始版本的价格定为 80 美元。

然而，不久之后，888 RAT 的开发者发布了能够感染 Android 设备的扩展 Pro 版本。后来，还发布了一个 Extreme 版本，现在它可以用于创建 Linux 有效负载。这些版本的价格分别为 150 美元和 200 美元。在此期间，网络犯罪团伙基本上未使用 888 RAT。当 Pro 版本被破解并在几个网站上免费发布时，这一切都发生了变化。

888鼠攻击活动

研究人员已设法检测到三个单独的攻击活动，这些活动使用 888 RAT 作为交付的有效载荷的一部分。一个是在 Spy TikTok Pro 下跟踪的，而另一个是属于 Kasablanka 集团的操作。然而，最近的攻击至少自 2020 年 3 月以来一直活跃，并且专门针对库尔德族群。攻击者部署了 Android 版本的 888 RAT 以在受感染设备上进行间谍活动。到目前为止，该活动已被归咎于一个名为 BladeHawk 的网络团伙。

BladeHawk 伪装了 888 RAT，并在小情况下伪装了一个名为 SpyNote 的不同恶意软件威胁为合法应用程序。作为最初的妥协媒介，网络犯罪分子使用专用的 Facebook 个人资料，通过发布与库尔德人支持者相关的事件的库尔德语新闻来引诱受害者。他们还向具有亲库尔德倾向的公共 Facebook 群组传播指向其他武器化应用程序的链接。研究人员已经证实，仅仅几个诱饵 Facebook 帖子就成功注册了近 1,500 次下载木马应用程序。

功能

888 RAT 的 Android 版本能够识别和执行它从命令和控制（C&C，C2）服务器接收的 42 种不同命令。因此，威胁可以在被破坏的设备上执行广泛的恶意活动。它配备了 Android 威胁所需的基本功能 - 操作、收集或删除文件、收集照片、访问 SMS 消息、收集设备的联系人列表并生成所有已安装应用程序的列表。

此外，888 RAT 可以在设备上建立许多间谍程序。这些包括任意截图、拍照、发送短信、拨打电话、记录周围的音频和在设备上进行的电话通话、使用网络钓鱼技术收集受害者的 Facebook 凭据等等。