ESET מדווחת על נוזקת ריגול אחר מטרות כורדיות

חברת אבטחת המידע חשפה כי התוקפים הפיצו אפליקציות זדוניות באמצעות שישה פרופילים מזויפים בפייסבוק, במסגרת קמפיין שהתחיל לפעול לפני שנה וחצי לפחות

ESET מדווחת על נוזקת ריגול אחר מטרות כורדיות

הפגנה בדיסלדורף, גרמניה למען הכורדים, אוגוסט 2021. צילום: DPA/Picture Alliance via REUTERS

חוקרי חברת אבטחת המידע ESET חקרו קמפיין ריגול ממוקד נגד מטרות כורדיות. הקמפיין, הפעיל מאז מרץ 2020 לפחות, הופץ באמצעות פרופילים ייעודים למטרה הזו בפייסבוק והפיץ שתי דלתות אחוריות לאנדרואיד הידועות בשמות 888 RAT ו-SpyNote.

שני הפרופילים המזויפים סיפקו חדשות בשפה הכורדית העוסקות באנדרואיד ובחדשות לתומכי הכורדים. ב-ESET זיהו שישה פרופילים של פייסבוק אשר מפיצים אפליקציות ריגול לאנדרואיד כחלק מהקמפיין הזה שערכה קבוצת BladeHawk.

הפרופילים שיתפו את אפליקציות הריגול באמצעות קבוצות של תומכי מסעוד ברזאני, לשעבר נשיא אזור כורדיסטן. בסה"כ לקבוצות הפייסבוק הממוקדות יש למעלה מ-11 אלף עוקבים.

כחלק מהקמפיין זוהו 28 פוסטים ייחודיים בפייסבוק כאשר כל אחד מהם הכיל תיאורי אפליקציות וקישורים מזויפים מהם הצליחו חוקרי ESET להוריד 17 חבילות APK ייחודיות. חלק מקישורי ה-APK הצביעו ישירות על האפליקציה הזדונית, ואילו האחרים הצביעו על שירות ההעלאות של צד שלישי top4top.io שעוקב אחר מספר הורדות קבצים. אפליקציות הריגול הורדו 1,418 פעמים.

רב הפוסטים הזדוניים בפייסבוק הובילו להורדת 888 RAT שזמין בשוק השחור מאז 2018. האנדרואיד 888 RAT מסוגל לבצע 42 פקודות שהתקבלו משרת הפיקוד והבקרה שלו. הוא יכול לגנוב ולמחוק קבצים מהמכשיר, לצלם צילומי מסך, לקבל מיקום של המכשיר, לדוג מידע מחשבון הפייסבוק ולקבל רשימת אפליקציות מותקנות, לבצע שיחות, לגנוב את רשימת אנשי הקשר של המכשיר ולשלוח מסרונים.