Es wurde festgestellt, dass Android-Spyware mit staatlich gesponsertem Konfuzius-APT verknüpft ist

Mark February 16, 2021

Lookout, eine Cybersicherheitsfirma, sagte am Dienstag, Hornbill und SunBird seien seit 2013 von der Konfuzius Advanced Persistent Threat Group (APT) als gefälschte Android-Apps ausgeliefert worden.

Es wird angenommen, dass die APT von einem staatlich geförderten Unternehmen stammt und pro-indische Beziehungen unterhält. Es wurde mit Angriffen gegen südostasiatische Regierungsstellen in Verbindung gebracht und gegen pakistanische Militärprofis, indische Wahlbeamte und Nuklearagenturen gerichtet.

Die erkannten Apps werden von der Gruppe verwendet, um Fotos von der Kamera aufzunehmen, erhöhte Berechtigungen anzufordern und WhatsApp-Nachrichten zu verschrotten.

Laut den Lookout-Forschern Apurva Kumar und Kristin Del Rosso verfügen Apps, die mit SunBird verknüpft sind, über umfangreichere Funktionen als Hornbil.

“Lokal auf dem infizierten Gerät werden die Daten in SQLite-Datenbanken gesammelt, die dann beim Hochladen in die C2-Infrastruktur in ZIP-Dateien komprimiert werden”, so die Forscher.

Im Folgenden sind die von der Gruppe veröffentlichten gefälschten Anträge auf Spionage aufgeführt:

  • “Google Security Framework”
  • “Kashmir News”,
  • „Falconry Connect“,
  • “Mania Soccer”
  • Und “Quran Majeed”

Die Daten, die SunBird sammeln kann:

  • Liste der installierten Apps,
  • Browserverlauf,
  • Informationen zum Kalender,
  • BBM-Audiodateien sowie Dokumente und Bilder,
  • Audios, Bilder und Sprachnotizen von WhatsApp,
  • Inhalte aus der IMO-Messaging-Anwendung

Die von SunBird betriebenen Apps können die folgenden Aktionen ausführen:

  • Laden Sie verdächtige Inhalte über FTP-Freigaben herunter.
  • Führen Sie beliebige Befehle als root aus.
  • Scrape BBM-Nachrichten, Kontakte und Benachrichtigungen

Falconry Connect ist eine solche App, die von SunBird unterstützt wird. Diese schädliche Datei befindet sich in der APK unter dem mysteriösen Speicherort com.falconry.sun.SunServices. Die Irreführung ist die Verwendung von “Sun” sowohl im Namespace- als auch im Verzeichnisnamen, damit ein Analyst abgewehrt werden kann, der der Meinung ist, dass diese Ordner mit Sum Microsystems aus der Java-Programmiersprache verknüpft sind.

Diese App kann Benutzerdaten an den C2-Server sunshinereal.000webhostapp [.] Com filtern, um regelmäßig verschiedene PHPs aufzurufen. Diese Domain ist im Code nicht richtig geschrieben. Außerdem hatte der Quellcode den Verweis auf den Zugriff auf den Ordner “/ DCIM / Camera”.

Die Hornbill-Stämme sind laut Lookout eher passiver Natur. Es heißt, dass die Belastung als Aufklärungswerkzeug verwendet wurde und nur minimale Ressourcen und Batterieleistung verbraucht.

Der Hornbill ist jedoch mehr an der Überwachung der WhatsApp-Aktivitäten der Benutzer interessiert.

“Hornbill filtert nicht nur den Nachrichteninhalt und die Absenderinformationen von Nachrichten heraus, sondern zeichnet auch WhatsApp-Anrufe auf, indem er einen aktiven Anruf erkennt, indem er die Eingabehilfedienste von Android missbraucht”, so die Forscher von Lookout.

„Die Nutzung der Barrierefreiheitsdienste von Android auf diese Weise ist ein Trend, den wir häufig bei Android-Überwachungssoftware beobachten. Auf diese Weise kann der Bedrohungsakteur die Notwendigkeit einer Eskalation von Berechtigungen auf einem Gerät vermeiden “, fügten die Forscher hinzu.

More Stories

Windows 11 Update: Verabschieden Sie sich von diesen Funktionen

Mark June 25, 2021

Massachusetts MassNotify Android COVID-App von Google erzwungen

Mark June 21, 2021

Was ist neu bei Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

So entfernen Boydscenter.com-Popups

Mark April 24, 2024

So entfernen Kibik.co.in vom PC

Mark April 24, 2024

So entfernen Searcherssearchers.com vom PC

Mark April 24, 2024

So entfernen G0-get-msg.net vom PC

Mark April 24, 2024

So entfernen Waisheph.com vom PC

Mark April 24, 2024