Se descubre que el software espía de Android está vinculado a la APT Confucio patrocinada por el estado
Lookout, una firma de ciberseguridad, dijo el martes, las denominadas Hornbill y SunBird han sido entregadas como aplicaciones de Android falsas por el grupo de amenazas persistentes avanzadas Confucius (APT), desde 2013.
Se cree que la APT es patrocinada por un estado y tiene vínculos pro-India. Se ha relacionado con ataques contra entidades gubernamentales del sudeste asiático y dirigido contra profesionales militares paquistaníes, funcionarios electorales indios y agencias nucleares.
El grupo utiliza las aplicaciones detectadas para tomar fotos desde la cámara, solicitar privilegios elevados, eliminar mensajes de WhatsApp.
Según los investigadores de vigilancia, Apurva Kumar y Kristin Del Rosso, las aplicaciones que están asociadas con SunBird tienen capacidades más amplias que Hornbil.
“Localmente en el dispositivo infectado, los datos se recopilan en bases de datos SQLite que luego se comprimen en archivos ZIP a medida que se cargan en la infraestructura C2”, dijeron los investigadores.
A continuación se muestran las aplicaciones falsificadas publicadas por el grupo para espiar sus operaciones:
- “Marco de seguridad de Google”,
- “Noticias de Cachemira”,
- “Falconry Connect”,
- “Mania Soccer”
- Y “Quran Majeed”
Los datos que se pueden recopilar SunBird:
- Lista de aplicaciones instaladas,
- Historial del navegador,
- Información sobre calendario,
- Archivos de audio y documentos e imágenes de BBM,
- Audios, imágenes y notas de voz de Whatsapp,
- Contenido de la aplicación de mensajería IMO
Las aplicaciones con tecnología de SunBird pueden realizar las siguientes acciones:
- Descargar contenido sospechoso a través de recursos compartidos FTP,
- Ejecute comandos arbitrarios como root,
- Extraiga mensajes, contactos y notificaciones de BBM
Falconry Connect es una de esas aplicaciones impulsadas por SunBird. Este archivo malicioso existe dentro del APK en la ubicación misteriosa: com.falconry.sun.SunServices. Lo engañoso es el uso de “Sun” tanto en el espacio de nombres como en los nombres de directorio para que pueda ahuyentar a un analista que piensa que estas carpetas están asociadas con Sum Microsystems del lenguaje de programación Java.
Esta aplicación puede ex-filtrar los datos del usuario al servidor C2 sunshinereal.000webhostapp [.] Com para realizar llamadas periódicas a diferentes PHP. Este dominio no está escrito correctamente en el código. Además, el código fuente tenía la referencia para acceder a la carpeta “/ DCIM / Camera”.
Las cepas de Hornbill son de naturaleza más pasiva, según el Lookout. Afirma que la tensión se ha estado utilizando como herramientas de reconocimiento, consumiendo un mínimo de recursos y energía de la batería.
Sin embargo, se encuentra que Hornbill está más interesado en monitorear la actividad de WhatsApp de los usuarios.
“Además de filtrar el contenido del mensaje y la información del remitente de los mensajes, Hornbill registra las llamadas de WhatsApp al detectar una llamada activa al abusar de los servicios de accesibilidad de Android”, dijeron los investigadores de Lookout.
“La explotación de los servicios de accesibilidad de Android de esta manera es una tendencia que observamos con frecuencia en el software de vigilancia de Android. Esto permite al actor de amenazas evitar la necesidad de escalar privilegios en un dispositivo ”, agregaron los investigadores.
