Les chercheurs d'ESET ont enquêté sur une campagne d'espionnage mobile ciblée contre le groupe ethnique kurde. Les agresseurs ont diffusé des applications malveillantes via six profils Facebook, qui ont été supprimés après qu'ESET en ait informé Facebook. Cette campagne est active depuis au moins mars 2020, diffusant (via des profils Facebook dédiés) deux portes dérobées Android déguisées en applications légitimes, connues sous le nom de 888 RAT et SpyNote. Ces profils semblaient fournir des actualités en kurde et des actualités pour les partisans des Kurdes sur Android. ESET Research a identifié six profils Facebook diffusant des applications d'espionnage sur Android, dans le cadre de cette campagne menée par le groupe BladeHawk. Les profils ont transmis les applications d'espionnage à des groupes publics Facebook, la plupart étant des partisans de Masoud Barzani, ancien président de la région du Kurdistan, une région autonome du nord de l'Irak. Au total, les groupes Facebook ciblés comptent plus de 11 000 abonnés. « Nous avons signalé ces profils à Facebook, qui ont tous été supprimés depuis. Deux des profils visaient des technophiles, tandis que les quatre autres se faisaient passer pour des partisans du Kurdistan, » explique Lukáš Štefanko, le chercheur d'ESET qui a enquêté sur cette campagne BladeHawk. ESET Research a identifié 28 messages Facebook uniques dans le cadre de cette campagne BladeHawk. Chacun de ces messages contenait des descriptions et des liens vers de fausses applications à partir desquels les chercheurs d'ESET ont pu télécharger 17 APK uniques. Certains des liens web pointaient directement vers l'application APK malveillante, tandis que d'autres pointaient vers le service de téléchargement top4top.io, qui mesure le nombre de téléchargements. Les applications d'espionnage ont été téléchargées 1 418 fois. La plupart des publications Facebook malveillantes conduisaient à des téléchargements de 888 RAT, un produit commercial multiplateforme disponible sur le marché noir depuis 2018. 888 RAT sur Android est capable d'exécuter 42 commandes émises par son serveur de commande et de contrôle (C&C). L'application peut voler et supprimer des fichiers d'un appareil, faire des captures d'écran, localiser l'appareil, récupérer les identifiants Facebook via des tentatives d' hameçonnage, obtenir une liste des applications installées, voler les photos de l'utilisateur, prendre des photos, faire des enregistrements audios, enregistrer les appels téléphoniques, passer des appels, voler des SMS, voler la liste des contacts de l'appareil, et envoyer des messages texte. Cette activité d'espionnage découverte par ESET Research est directement liée à deux cas signalés en 2020. Dans un des cas, le centre QiAnXin de renseignements sur les menaces a nommé le groupe à l'origine des attaques BladeHawk, nom qu'ESET a adopté. Les deux campagnes ont été diffusées via Facebook, à l'aide de logiciels malveillants développés via des outils commerciaux automatisés (888 RAT et SpyNote). Tous les échantillons de logiciels malveillants utilisent les mêmes serveurs de commande et de contrôle. Depuis 2018, les produits ESET ont identifié des centaines d'appareils Android infectés par 888 RAT.
