Les logiciels espions Android sont liés à Confucius APT sponsorisé par l’État
Lookout, une entreprise de cybersécurité, a déclaré mardi que Hornbill et SunBird étaient de fausses applications Android par le groupe de menaces persistantes avancées Confucius (APT), depuis 2013.
L’APT est censé être d’un État parrainé et avoir des liens pro-Inde. Elle a été liée à des attaques contre des entités gouvernementales d’Asie du Sud-Est et ciblée contre des militaires pakistanais, des responsables électoraux indiens et des agences nucléaires.
Les applications détectées sont utilisées par le groupe pour prendre des photos de l’appareil photo, demander des privilèges élevés, supprimer des messages WhatsApp.
Selon les chercheurs, Apurva Kumar et Kristin Del Rosso, les applications associées à SunBird ont des capacités plus étendues que Hornbil.
«Localement sur l’appareil infecté, les données sont collectées dans des bases de données SQLite qui sont ensuite compressées dans des fichiers ZIP lors de leur téléchargement sur l’infrastructure C2», ont déclaré les chercheurs.
Voici les applications contrefaites publiées par le groupe pour espionner ses opérations:
- «Google Security Framework»,
- «Kashmir News»,
- «Falconry Connect»,
- «Mania Soccer»
- Et «Quran Majeed»
Les données pouvant être collectées SunBird:
- Liste des applications installées,
- Historique du navigateur,
- Informations sur le calendrier,
- Fichiers audio, documents et images BBM,
- Audios, images et notes vocales de Whatsapp,
- Contenu de l’application de messagerie de l’OMI
Les applications optimisées de SunBird peuvent effectuer les actions suivantes:
- Téléchargez du contenu suspect via des partages FTP,
- Exécutez des commandes arbitraires en tant que root,
- Grattez les messages, contacts et notifications BBM
Falconry Connect est l’une de ces applications alimentées par SunBird. Ce fichier malveillant existe dans l’APK sous l’emplacement mystérieux – com.falconry.sun.SunServices. Ce qui est trompeur, c’est l’utilisation de «Sun» à la fois dans les espaces de noms et les noms de répertoires afin de pouvoir éloigner un analyste qui pense que ces dossiers sont associés à Sum Microsystems du langage de programmation Java.
Cette application peut filtrer les données utilisateur vers le serveur C2 sunshinereal.000webhostapp [.] Com pour effectuer des appels périodiques vers différents PHP. Ce domaine n’est pas correctement épelé dans le code. De plus, le code source avait la référence pour accéder au dossier “/ DCIM / Camera”.
Les variétés Hornbill sont de nature plus passive, selon le Lookout. Il déclare que la souche a été utilisée comme outils de reconnaissance, consommant un minimum de ressources et d’énergie de la batterie.
Cependant, le Hornbill est plus intéressé par la surveillance de l’activité WhatsApp des utilisateurs.
“En plus d’exfiltrer le contenu des messages et les informations sur l’expéditeur des messages, Hornbill enregistre les appels WhatsApp en détectant un appel actif en abusant des services d’accessibilité d’Android”, ont déclaré les chercheurs de Lookout.
«L’exploitation des services d’accessibilité d’Android de cette manière est une tendance que nous observons fréquemment dans les logiciels de surveillance Android. Cela permet à l’acteur de la menace d’éviter la nécessité d’une élévation de privilèges sur un appareil », ont ajouté les chercheurs.