Si è scoperto che lo spyware Android è collegato all’APT Confucius sponsorizzato dallo stato

Lookout, una società di sicurezza informatica, ha detto martedì, soprannominato Hornbill e SunBird sono state fornite come false app Android da Confucius advanced persistent threat group (APT), dal 2013.

Si pensa che l’APT provenga da uno stato sponsorizzato e abbia legami pro-India. È stato collegato ad attacchi contro entità governative del sud-est asiatico e preso di mira contro professionisti militari pakistani, funzionari elettorali indiani e agenzie nucleari.

Le app rilevate vengono utilizzate dal gruppo per scattare foto dalla fotocamera, richiedere privilegi elevati, eliminare messaggi whatsapp.

Secondo i ricercatori di Lookout, Apurva Kumar e Kristin Del Rosso, le app associate a SunBird hanno funzionalità più estese di Hornbil.

“A livello locale sul dispositivo infetto, i dati vengono raccolti nei database SQLite che vengono poi compressi in file ZIP quando vengono caricati nell’infrastruttura C2”, hanno detto i ricercatori.

Di seguito le domande di contraffazione pubblicate dal gruppo per spionaggio delle loro operazioni:

  • “Google Security Framework”,
  • “Kashmir News”,
  • “Falconry Connect”,
  • “Mania Soccer”
  • E “Quran Majeed”

I dati che possono essere raccolti SunBird:

  • Elenco delle app installate,
  • Cronologia del browser,
  • Informazioni sul calendario,
  • File audio BBM, documenti e immagini,
  • Audio, immagini e note vocali di Whatsapp,
  • Contenuto dell’applicazione di messaggistica IMO

Le app alimentate da SunBird possono eseguire le seguenti azioni:

  • Scarica contenuti sospetti tramite condivisioni FTP,
  • Esegui comandi arbitrari come root,
  • Raschiare messaggi, contatti e notifiche BBM

Falconry Connect è una di queste app alimentate da SunBird. Questo file dannoso esiste all’interno dell’APK nella posizione misteriosa: com.falconry.sun.SunServices. L’aspetto fuorviante in esso è l’uso di “Sun” sia nei nomi dello spazio dei nomi che in quelli delle directory, in modo che possa allontanare un analista che pensa che queste cartelle siano associate a Sum Microsystems dal linguaggio di programmazione Java.

Questa app può ex-filtrare i dati dell’utente al server C2 sunshinereal.000webhostapp [.] Com per effettuare chiamate periodiche a diversi PHP. Questo dominio non è scritto correttamente nel codice. Inoltre, il codice sorgente aveva il riferimento per accedere alla cartella “/ DCIM / Camera”.

Le varietà Hornbill sono di natura più passiva, come da Lookout. Afferma che il ceppo è stato utilizzato come strumenti di ricognizione, consumando il minimo delle risorse e della batteria.

Tuttavia, si è scoperto che Hornbill è più interessato a monitorare l’attività whatsapp degli utenti.

“Oltre a esfiltrare il contenuto del messaggio e le informazioni sul mittente dei messaggi, Hornbill registra le chiamate WhatsApp rilevando una chiamata attiva abusando dei servizi di accessibilità di Android”, hanno affermato i ricercatori di Lookout.

“Lo sfruttamento dei servizi di accessibilità di Android in questo modo è una tendenza che stiamo osservando frequentemente nel software di sorveglianza Android. Ciò consente all’attore della minaccia di evitare la necessità di aumentare i privilegi su un dispositivo “, hanno aggiunto i ricercatori.