Si è scoperto che lo spyware Android è collegato all’APT Confucius sponsorizzato dallo stato
Lookout, una società di sicurezza informatica, ha detto martedì, soprannominato Hornbill e SunBird sono state fornite come false app Android da Confucius advanced persistent threat group (APT), dal 2013.
Si pensa che l’APT provenga da uno stato sponsorizzato e abbia legami pro-India. È stato collegato ad attacchi contro entità governative del sud-est asiatico e preso di mira contro professionisti militari pakistani, funzionari elettorali indiani e agenzie nucleari.
Le app rilevate vengono utilizzate dal gruppo per scattare foto dalla fotocamera, richiedere privilegi elevati, eliminare messaggi whatsapp.
Secondo i ricercatori di Lookout, Apurva Kumar e Kristin Del Rosso, le app associate a SunBird hanno funzionalità più estese di Hornbil.
“A livello locale sul dispositivo infetto, i dati vengono raccolti nei database SQLite che vengono poi compressi in file ZIP quando vengono caricati nell’infrastruttura C2”, hanno detto i ricercatori.
Di seguito le domande di contraffazione pubblicate dal gruppo per spionaggio delle loro operazioni:
- “Google Security Framework”,
- “Kashmir News”,
- “Falconry Connect”,
- “Mania Soccer”
- E “Quran Majeed”
I dati che possono essere raccolti SunBird:
- Elenco delle app installate,
- Cronologia del browser,
- Informazioni sul calendario,
- File audio BBM, documenti e immagini,
- Audio, immagini e note vocali di Whatsapp,
- Contenuto dell’applicazione di messaggistica IMO
Le app alimentate da SunBird possono eseguire le seguenti azioni:
- Scarica contenuti sospetti tramite condivisioni FTP,
- Esegui comandi arbitrari come root,
- Raschiare messaggi, contatti e notifiche BBM
Falconry Connect è una di queste app alimentate da SunBird. Questo file dannoso esiste all’interno dell’APK nella posizione misteriosa: com.falconry.sun.SunServices. L’aspetto fuorviante in esso è l’uso di “Sun” sia nei nomi dello spazio dei nomi che in quelli delle directory, in modo che possa allontanare un analista che pensa che queste cartelle siano associate a Sum Microsystems dal linguaggio di programmazione Java.
Questa app può ex-filtrare i dati dell’utente al server C2 sunshinereal.000webhostapp [.] Com per effettuare chiamate periodiche a diversi PHP. Questo dominio non è scritto correttamente nel codice. Inoltre, il codice sorgente aveva il riferimento per accedere alla cartella “/ DCIM / Camera”.
Le varietà Hornbill sono di natura più passiva, come da Lookout. Afferma che il ceppo è stato utilizzato come strumenti di ricognizione, consumando il minimo delle risorse e della batteria.
Tuttavia, si è scoperto che Hornbill è più interessato a monitorare l’attività whatsapp degli utenti.
“Oltre a esfiltrare il contenuto del messaggio e le informazioni sul mittente dei messaggi, Hornbill registra le chiamate WhatsApp rilevando una chiamata attiva abusando dei servizi di accessibilità di Android”, hanno affermato i ricercatori di Lookout.
“Lo sfruttamento dei servizi di accessibilità di Android in questo modo è una tendenza che stiamo osservando frequentemente nel software di sorveglianza Android. Ciò consente all’attore della minaccia di evitare la necessità di aumentare i privilegi su un dispositivo “, hanno aggiunto i ricercatori.