Blogheim.at Logo
Freitag, 22 Oktober 2021

Angreifer verbreiten Schad-Apps über Fake-Profile bei Facebook

Experten deckten Spionageaktivitäten gegen Kurden auf. Angreifer verbreiten Schad-Apps über Fake-Profile bei Facebook.

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile.

Mimikama unterstützen: Unterstütze uns und trage auch du dazu bei, die Zukunft von Mimikama zu sichern. Hier kannst du unterstützen: via PayPal oder Patreon. Gerne kannst du aber auch ein mimikamaPLUS- Abonnent werden.

Hierüber werden zwei Android-Backdoors verteilt, die als 888 RAT und SpyNote bekannt sind. Mit diesen Profilen werden ausschließlich Kurden in ihrer Sprache angeschrieben. Insgesamt identifizierten die ESET-Forscher sechs Facebook-Profile, die Android-Spionage-Apps von der BladeHawk-Gruppe durchgeführten Kampagne verbreiteten.

Über öffentliche Facebook-Gruppen haben die Konten die Ausspähprogramme in Umlauf gebracht. Hierbei wurden hauptsächlich Unterstützer von Masoud Barzani kontaktiert, dem ehemaligen Präsidenten der Region Kurdistan, einer autonomen Region im Nordirak. Insgesamt haben die betroffenen Facebook-Gruppen über 11.000 Anhänger. Die Analyse zu den Aktivitäten der BladeHawk-Gruppe ist auf WeliveSecurity verfügbar.

„Wir haben diese Profile an Facebook gemeldet und sie wurden alle entfernt. Zwei davon richteten sich an Tech-Nutzer, während die anderen vier sich als Kurden-Unterstützer ausgaben“, sagt ESET-Forscher Lukás Stefanko, der die BladeHawk-Kampagne untersucht.

Facebook-Posts sollen zum Klick auf einen Link verleiten

ESET Research identifizierte 28 einzigartige Facebook-Posts als Teil der BladeHawk-Kampagne. Jeder dieser Posts enthielt gefälschte App-Beschreibungen und Links, von denen die ESET-Forscher 17 einzelne APKs herunterladen konnten. Einige der APK-Web-Links verwiesen direkt auf die bösartige App, während andere auf einen Drittanbieter-Upload-Dienst führten, der die Download-Anzahl registrierte. Allein hier wurden die Spionage-Apps 1.418-mal heruntergeladen.

Die meisten der hinterhältigen Facebook-Posts führten zu Downloads des kommerziellen, plattformübergreifenden 888 RAT, das seit 2018 auf dem Schwarzmarkt erhältlich ist. Die Spionage-App ist in der Lage, 42 Befehle auszuführen, die es von seinem Command-and-Control-Server (C&C) erhält. Es kann Dateien von einem Gerät stehlen und löschen, Screenshots erstellen, den Standort des Geräts ermitteln, Facebook-Anmeldedaten fälschen, eine Liste der installierten Apps abrufen, Benutzerfotos stehlen, Fotos aufnehmen, Umgebungsgeräusche und Telefonanrufe aufzeichnen, Anrufe tätigen, SMS-Nachrichten sowie die Kontaktliste des Geräts stehlen und Textnachrichten senden.

Zusammenhang mit anderen Fällen

Diese von den ESET-Forschern entdeckte Spionageaktivität steht in direktem Zusammenhang mit zwei im Jahr 2020 öffentlich bekannt gewordenen Fällen. Das QiAnXin Threat Intelligence Center gab der Gruppe hinter den Angriffen den Namen BladeHawk. Um Verwechslungen zu vermeiden, hat ESET die Bezeichnung übernommen. Beide Kampagnen wurden über Facebook verbreitet, wobei Malware verwendet wurde, die mit kommerziellen, automatisierten Tools (888 RAT und SpyNote) erstellt wurde. Alle eingesetzten Varianten der Schad-App nutzten dieselben C&C-Server.

Weitere technische Details sowie Screenshots zur jüngsten BladeHawk-Kampagne gibt es im Blogbeitrag auf WeLiveSecurity: https://www.welivesecurity.com/deutsch/2021/09/08/bladehawk-gruppe-android-spionage-gegen-kurden

Übernimm jetzt die Kontrolle deiner Privatsphäre!
Finde heraus, wie du deine Datenschutzeinstellungen ändern kannst, um die Kontrolle über deine persönlichen Daten zu übernehmen.
Hier geht es zum Online Privacy Checker
für Facebook, Instagram, WhatsApp, TikTok, Twitter, Google, YouTube, LinkedIn, Skype sowie Windows 7, Windows 10, Mac OS und iOS bzw. Android
Exklusive Inhalte! Werde jetzt mimikamaPLUS- Abonnent und unterstütze so unser Handeln. Zusätzlich erhältst du exklusive Inhalte und die gesamte Webseite werbefrei.

Aktuelle Artikel

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.