888 RAT

Die 888 RAT ist eine alte Malware-Bedrohung, die erstmals 2018 in unterirdischen Hacker-Foren zum Verkauf angeboten wurde. Damals hatte sie eine stark eingeschränkte Funktionalität und zielte nur auf Windows-Geräte ab. Der Preis für diese erste Version wurde auf 80 US-Dollar festgelegt.

Kurz darauf veröffentlichten die Entwickler von 888 RAT jedoch eine erweiterte Pro-Version, die Android-Geräte infizieren konnte. Später wurde auch eine Extreme-Version veröffentlicht, die nun für die Erstellung von Linux-Payloads verwendet werden konnte. Diese Versionen kosteten 150 bzw. 200 US-Dollar. Während dieser Zeit blieb die 888 RAT von cyberkriminellen Banden weitgehend ungenutzt. All das änderte sich, als die Pro-Version geknackt und auf mehreren Websites kostenlos veröffentlicht wurde.

Kampagnen von 888 RAT Attack

Forschern ist es gelungen, drei separate Angriffskampagnen zu erkennen, bei denen die 888 RAT als Teil der gelieferten Nutzlasten verwendet wurde. Einer wird unter Spy TikTok Pro verfolgt, während ein anderer eine Operation der Kasablanka-Gruppe zugeschrieben wird. Der jüngste Angriff ist jedoch mindestens seit März 2020 aktiv und richtet sich gezielt gegen die kurdische Volksgruppe. Die Angreifer setzten die Android-Version der 888 RAT ein, um Spionageaktivitäten auf den kompromittierten Geräten durchzuführen. Bisher wurde die Kampagne einer Cyberbande zugeschrieben, die unter dem Namen BladeHawk verfolgt wurde.

BladeHawk hat die 888 RAT und in kleinen Fällen eine andere Malware-Bedrohung namens SpyNote als legitime Anwendung getarnt. Als ersten Kompromißweg nutzten die Cyberkriminellen dedizierte Facebook-Profile, die ihre Opfer mit Nachrichten auf Kurdisch über für die Unterstützer der Kurden relevante Ereignisse anlockten. Sie verbreiten auch Links, die zu weiteren waffenfähigen Anwendungen führen, an öffentliche Facebook-Gruppen mit pro-kurdischen Neigungen. Forscher haben bestätigt, dass es nur ein paar Facebook-Posts mit Ködern geschafft haben, fast 1.500 Downloads von trojanisierten Anwendungen zu registrieren.

Funktionalität

Die Android-Version des 888 RAT ist in der Lage, 42 verschiedene Befehle zu erkennen und auszuführen, die sie von einem Command-and-Control (C&C, C2) Server erhält. Daher kann die Bedrohung eine Vielzahl von schändlichen Aktivitäten auf den angegriffenen Geräten ausführen. Es ist mit den grundlegenden Funktionen ausgestattet, die von einer Android-Bedrohung erwartet werden - Dateien manipulieren, sammeln oder löschen, Fotos sammeln, auf SMS-Nachrichten zugreifen, die Kontaktliste des Geräts sammeln und eine Liste aller installierten Anwendungen erstellen.

Darüber hinaus kann die 888 RAT zahlreiche Spionageroutinen auf dem Gerät einrichten. Dazu gehören das Anfertigen beliebiger Screenshots, das Aufnehmen von Fotos, das Senden von Textnachrichten, das Tätigen von Anrufen, das Aufzeichnen der umgebenden Audio- und Telefonanrufe, die auf dem Gerät geführt werden, der Einsatz von Phishing-Techniken, um die Facebook-Anmeldeinformationen des Opfers zu sammeln und vieles mehr.