Los investigadores de ESET, compañía pionera en protección antivirus y experta en ciberseguridad, han descubierto una campaña de espionaje móvil dirigido contra la etnia kurda. Esta campaña ha estado activa desde al menos marzo de 2020, distribuyendo (a través de perfiles de Facebook) dos backdoors para Android conocidos como 888 RAT y SpyNote, disfrazados de aplicaciones legítimas.
Estos perfiles parecían proporcionar noticias de Android en kurdo, así como informaciones para los partidarios de este colectivo. ESET Research identificó seis perfiles de Facebook que distribuían aplicaciones de espionaje para Android como parte de esta campaña, realizada por el denominado grupo BladeHawk. Los perfiles compartieron las aplicaciones de espionaje en grupos públicos de Facebook, la mayoría de los cuales eran partidarios de Masoud Barzani, expresidente de la región del Kurdistán, una región autónoma en el norte de Irak. En total, los grupos de Facebook atacados cuentan con más de 11.000 seguidores.
“Denunciamos estos perfiles a Facebook y todos han sido retirados. Dos de los perfiles estaban dirigidos a usuarios de tecnología, mientras que los otros cuatro se hacían pasar por simpatizantes de los kurdos”, afirma el investigador de ESET Lukáš Štefanko, que investigó esta campaña de BladeHawk.
ESET Research identificó hasta 28 publicaciones únicas en Facebook como parte de esta campaña de BladeHawk. Cada una de estas publicaciones contenía descripciones de aplicaciones falsas y enlaces desde los que los investigadores de ESET pudieron descargar 17 APKs únicos. Algunos de los enlaces web APK apuntaban directamente a la aplicación maliciosa, mientras que otros apuntaban al servicio de carga de terceros top4top.io, que rastrea el número de descargas de archivos. Las aplicaciones de espionaje se descargaron un total de 1.418 veces.
