Es wurde festgestellt, dass Android-Spyware mit staatlich gesponsertem Konfuzius-APT verknüpft ist
Lookout, eine Cybersicherheitsfirma, sagte am Dienstag, Hornbill und SunBird seien seit 2013 von der Konfuzius Advanced Persistent Threat Group (APT) als gefälschte Android-Apps ausgeliefert worden.
Es wird angenommen, dass die APT von einem staatlich geförderten Unternehmen stammt und pro-indische Beziehungen unterhält. Es wurde mit Angriffen gegen südostasiatische Regierungsstellen in Verbindung gebracht und gegen pakistanische Militärprofis, indische Wahlbeamte und Nuklearagenturen gerichtet.
Die erkannten Apps werden von der Gruppe verwendet, um Fotos von der Kamera aufzunehmen, erhöhte Berechtigungen anzufordern und WhatsApp-Nachrichten zu verschrotten.
Laut den Lookout-Forschern Apurva Kumar und Kristin Del Rosso verfügen Apps, die mit SunBird verknüpft sind, über umfangreichere Funktionen als Hornbil.
“Lokal auf dem infizierten Gerät werden die Daten in SQLite-Datenbanken gesammelt, die dann beim Hochladen in die C2-Infrastruktur in ZIP-Dateien komprimiert werden”, so die Forscher.
Im Folgenden sind die von der Gruppe veröffentlichten gefälschten Anträge auf Spionage aufgeführt:
- “Google Security Framework”
- “Kashmir News”,
- „Falconry Connect“,
- “Mania Soccer”
- Und “Quran Majeed”
Die Daten, die SunBird sammeln kann:
- Liste der installierten Apps,
- Browserverlauf,
- Informationen zum Kalender,
- BBM-Audiodateien sowie Dokumente und Bilder,
- Audios, Bilder und Sprachnotizen von WhatsApp,
- Inhalte aus der IMO-Messaging-Anwendung
Die von SunBird betriebenen Apps können die folgenden Aktionen ausführen:
- Laden Sie verdächtige Inhalte über FTP-Freigaben herunter.
- Führen Sie beliebige Befehle als root aus.
- Scrape BBM-Nachrichten, Kontakte und Benachrichtigungen
Falconry Connect ist eine solche App, die von SunBird unterstützt wird. Diese schädliche Datei befindet sich in der APK unter dem mysteriösen Speicherort com.falconry.sun.SunServices. Die Irreführung ist die Verwendung von “Sun” sowohl im Namespace- als auch im Verzeichnisnamen, damit ein Analyst abgewehrt werden kann, der der Meinung ist, dass diese Ordner mit Sum Microsystems aus der Java-Programmiersprache verknüpft sind.
Diese App kann Benutzerdaten an den C2-Server sunshinereal.000webhostapp [.] Com filtern, um regelmäßig verschiedene PHPs aufzurufen. Diese Domain ist im Code nicht richtig geschrieben. Außerdem hatte der Quellcode den Verweis auf den Zugriff auf den Ordner “/ DCIM / Camera”.
Die Hornbill-Stämme sind laut Lookout eher passiver Natur. Es heißt, dass die Belastung als Aufklärungswerkzeug verwendet wurde und nur minimale Ressourcen und Batterieleistung verbraucht.
Der Hornbill ist jedoch mehr an der Überwachung der WhatsApp-Aktivitäten der Benutzer interessiert.
“Hornbill filtert nicht nur den Nachrichteninhalt und die Absenderinformationen von Nachrichten heraus, sondern zeichnet auch WhatsApp-Anrufe auf, indem er einen aktiven Anruf erkennt, indem er die Eingabehilfedienste von Android missbraucht”, so die Forscher von Lookout.
„Die Nutzung der Barrierefreiheitsdienste von Android auf diese Weise ist ein Trend, den wir häufig bei Android-Überwachungssoftware beobachten. Auf diese Weise kann der Bedrohungsakteur die Notwendigkeit einer Eskalation von Berechtigungen auf einem Gerät vermeiden “, fügten die Forscher hinzu.