Компания ESET сообщила об выявлении двух бэкдоров, распространяющихся через профили Facebook. Вредоносные программы для Android, известные как 888 RAT и SpyNote, были замаскированы под легитимные приложения.

Исследователи ESET обнаружили 6 аккаунтов, которые использовались для распространения шпионских программ в открытых группах Facebook, общее число подписчиков которых достигало 11 тысяч. Кстати, по количеству выявленных образцов этого вредоносного программного обеспечения Украина оказалась на втором месте (8,4%), на первом месте – Индия (27,6%), на третьем – Великобритания (7,5%).

ESET сообщила об этих профилях Facebook, после чего аккаунты были удалены. Два профиля были нацелены на технических пользователей, а еще четыре – на сторонников бывшего президента Курдистана, отмечают в ESET.

Специалисты обнаружили 28 уникальных публикаций в Facebook в рамках шпионской кампании BladeHawk. Каждое из этих сообщений содержало поддельные описания приложений и ссылки, перейдя по которым исследователи ESET смогли загрузить 17 уникальных APK-файлов. Некоторые ссылки перенаправляли непосредственно на вредоносное приложение, тогда как другие – на стороннюю службу top4top.io, которая отслеживает количество загрузок файлов. Стоит отметить, что шпионские программы были загружены 1 418 раз.

Во вредоносных публикациях Facebook содержалась ссылка на загрузку мультиплатформенного бэкдора под названием 888 RAT, который доступен на «черном» рынке с 2018 года. Угроза способна выполнять 42 команды, которые получает из командного сервера (C&C).

Этот бэкдор может похищать и удалять файлы с устройства, делать снимки экрана, получать информацию о местоположении устройства и выманивать учетные данные Facebook с помощью фишинга.

Кроме этого, угроза позволяет злоумышленникам получать доступ к списку установленных приложений, SMS и контактам пользователя, перехватывать и делать фотографии, отправлять текстовые сообщения, записывать окружающие звуки и телефонные разговоры, а также звонить с устройства жертвы.

Эта шпионская деятельность непосредственно связана с двумя случаями, зафиксированными в 2020 году. В первом случае QiAnXin Threat Intelligence Center назвал группу, ответственную за атаки, – BladeHawk. Обе кампании распространялись через Facebook с использованием вредоносной программы, созданной с помощью автоматизированных инструментов (888 RAT и SpyNote). При этом все образцы угрозы использовали одни командные серверы. Стоит отметить, что продукты ESET обнаружили сотни образцов бэкдора 888 RAT на устройствах Android с 2018 года.