888 RATA

El 888 RAT es una antigua amenaza de malware que se ofreció por primera vez a la venta en foros de piratas informáticos clandestinos en 2018. En ese entonces, tenía una funcionalidad muy limitada y se usaba solo para apuntar a dispositivos Windows. El precio de esta versión inicial se fijó en 80 dólares.

Sin embargo, poco después, los desarrolladores de 888 RAT lanzaron una versión Pro ampliada que era capaz de infectar dispositivos Android. Más tarde, también se lanzó una versión Extreme y ahora podría usarse para la creación de cargas útiles de Linux. Estas versiones tenían un precio de $ 150 y $ 200 respectivamente. Durante este período, las bandas de ciberdelincuentes no utilizaron el 888 RAT. Todo eso cambió cuando la versión Pro se rompió y se lanzó de forma gratuita en varios sitios web.

Campañas de 888 RAT Attack

Los investigadores han logrado detectar tres campañas de ataque independientes que utilizaron el 888 RAT como parte de las cargas útiles entregadas. Uno se rastrea bajo Spy TikTok Pro, mientras que otro es una operación atribuida al grupo Kasablanka.Sin embargo, el último ataque ha estado activo desde al menos marzo de 2020 y está dirigido específicamente al grupo étnico kurdo. Los atacantes desplegaron la versión de Android del 888 RAT para realizar actividades de espionaje en los dispositivos comprometidos. Hasta ahora, la campaña se ha atribuido a una banda cibernética rastreada bajo el nombre BladeHawk.

BladeHawk disfrazó el 888 RAT y, en casos pequeños, una amenaza de malware diferente llamada SpyNote como una aplicación legítima. Como vector de compromiso inicial, los ciberdelincuentes utilizaron perfiles de Facebook dedicados que atraían a sus víctimas publicando noticias en kurdo sobre eventos relevantes para los partidarios de los kurdos. También difundieron enlaces que conducen a aplicaciones adicionales armadas a grupos públicos de Facebook con inclinaciones pro kurdas. Los investigadores han confirmado que solo un par de publicaciones de cebo en Facebook han logrado registrar casi 1.500 descargas de aplicaciones troyanizadas.

Funcionalidad

La versión de Android del 888 RAT es capaz de reconocer y ejecutar 42 comandos diferentes que recibe de un servidor de Comando y Control (C&C, C2). Como tal, la amenaza puede realizar una amplia gama de actividades nefastas en los dispositivos violados. Está equipado con las funciones básicas que se esperan de una amenaza de Android: manipular, recopilar o eliminar archivos, recopilar fotos, acceder a mensajes SMS, recopilar la lista de contactos del dispositivo y generar una lista de todas las aplicaciones instaladas.

Además, el 888 RAT puede establecer numerosas rutinas de espionaje en el dispositivo. Estos incluyen tomar capturas de pantalla arbitrarias, tomar fotos, enviar mensajes de texto, hacer llamadas, grabar el audio circundante y las llamadas telefónicas realizadas en el dispositivo, emplear técnicas de phishing para recopilar las credenciales de Facebook de la víctima y más.