Los investigadores de ESET, compañía de protección antivirus y ciberseguridad, han descubierto una campaña de espionaje móvil dirigido contra la etnia kurda. Esta campaña ha estado activa desde al menos marzo de 2020, distribuyendo (a través de perfiles de Facebook) dos ‘backdoors’ (puertas traseras) para Android conocidos como 888 RAT y SpyNote, disfrazados de aplicaciones legítimas.

Estos perfiles parecían proporcionar noticias de Android en kurdo, así como informaciones para los partidarios de este colectivo.  ESET Research identificó seis perfiles de Facebook que distribuían aplicaciones de espionaje para Android como parte de esta campaña, realizada por el grupo BladeHawk. Los perfiles compartieron las aplicaciones de espionaje en grupos públicos de Facebook, la mayoría de los cuales eran partidarios de Masoud Barzani, expresidente de la región del Kurdistán, una región autónoma en el norte de Irak. En total, los grupos de Facebook atacados cuentan con más de 11.000 seguidores.

«Denunciamos estos perfiles a Facebook y todos han sido retirados. Dos de los perfiles estaban dirigidos a usuarios de tecnología, mientras que los otros cuatro se hacían pasar por simpatizantes de los kurdos», afirma el investigador de ESET Lukáš Štefanko, que investigó esta campaña de BladeHawk.

ESET Research identificó hasta 28 publicaciones únicas en Facebook como parte de esta campaña de BladeHawk. Cada una de estas publicaciones contenía descripciones de aplicaciones falsas y enlaces desde los que los investigadores de ESET pudieron descargar 17 APKs únicos. Algunos de los enlaces web APK apuntaban directamente a la aplicación maliciosa, mientras que otros apuntaban al servicio de carga de terceros top4top.io, que rastrea el número de descargas de archivos. Las aplicaciones de espionaje se descargaron un total de 1.418 veces.

La mayoría de las publicaciones maliciosas en Facebook conducían a descargas de la RAT (herramienta de control remoto) comercial y multiplataforma 888, que está disponible en el mercado negro desde 2018. Android 888 RAT es capaz de ejecutar 42 comandos recibidos desde su servidor de mando y control (C&C). Puede robar y eliminar archivos de un dispositivo, hacer capturas de pantalla, obtener la ubicación del dispositivo, suplantar las credenciales de Facebook, obtener una lista de aplicaciones instaladas, robar fotos del usuario, tomar fotos, grabar el audio circundante y las llamadas telefónicas, hacer llamadas, robar mensajes SMS, robar la lista de contactos del dispositivo y enviar mensajes de texto.

Esta actividad de espionaje descubierta por ESET Research está directamente relacionada con dos casos revelados públicamente en 2020. En uno de ellos, el Centro de Inteligencia de Amenazas QiAnXin denominó al grupo detrás de los ataques BladeHawk. Ambas campañas se distribuyeron a través de Facebook, utilizando malware que fue construido con herramientas comerciales y automatizadas (888 RAT y SpyNote), con todas las muestras del malware utilizando los mismos servidores de C&C. Desde 2018, los productos de ESET han identificado cientos de casos de dispositivos Android en los que se desplegó la 888 RAT.