Меню
Поиск

Шпигунські програми для Android поширюються через публікації у Facebook

7 сентябрь, 2021 - 13:35

Компанія Eset попереджає про поширення двох бекдорів через профілі Facebook. Шкідливі програми для Android, відомі як 888 RAT та SpyNote, були замасковані під легітимні додатки.

Дослідники Eset виявили шість акаунтів, які використовувались для розповсюдження шпигунських програм у відкритих групах Facebook, загальне число підписників яких досягало 11 тис. Eset повідомила про ці профілі Facebook, після чого акаунти були видалені. Варто зазначити, що за кількістю виявлених зразків цього шкідливого програмного забезпечення Україна опинилася на другому місці в світі (8,4%).

Шпигунські програми для Android поширюються через публікації у Facebook

Виявлення бекдора 888 RAT для Android за країнами

Спеціалісти Eset виявили 28 унікальних публікацій у Facebook у рамках шпигунської кампанії BladeHawk. Кожен з цих дописів містив підроблені описи додатків та посилання, перейшовши за якими дослідники Eset змогли завантажити 17 унікальних APK-файлів. Деякі посилання перенаправляли безпосередньо на шкідливий додаток, тоді як інші – на сторонню службу top4top.io, яка відстежує кількість завантажень файлів. Варто зазначити, що шпигунські програми були завантажені 1418 разів.

У шкідливих публікаціях Facebook містилося також посилання на завантаження мультиплатформенного бекдора під назвою 888 RAT, який доступний на «чорному» ринку з 2018 р. Загроза здатна виконувати 42 команди, які отримує з командного сервера (C&C).

Цей бекдор може викрадати та видаляти файли з пристрою, робити знімки екрану, отримувати інформацію про місцезнаходження пристрою та виманювати облікові дані Facebook за допомогою фішингу.

Крім цього, загроза дозволяє зловмисникам отримувати доступ до списку встановлених додатків, SMS та контактів користувача, перехоплювати та робити фотографії, відправляти текстові повідомлення, записувати навколишні звуки та телефонні розмови, а також телефонувати з пристрою жертви.

Ця шпигунська діяльність безпосередньо пов'язана з двома випадками, зафіксованими у 2020 р. У першому випадку QiAnXin Threat Intelligence Center назвав групу, відповідальну за атаки, – BladeHawk. Обидві кампанії поширювалися через Facebook з використанням шкідливої програми, створеної за допомогою автоматизованих інструментів (888 RAT та SpyNote). При цьому всі зразки загрози використовували одні командні сервери. Варто зазначити, що з 2018 р. продукти Eset виявили сотні зразків бекдора 888 RAT на пристроях Android.