Si è scoperto che lo spyware Android è collegato all’APT Confucius sponsorizzato dallo stato

Mark February 16, 2021

Lookout, una società di sicurezza informatica, ha detto martedì, soprannominato Hornbill e SunBird sono state fornite come false app Android da Confucius advanced persistent threat group (APT), dal 2013.

Si pensa che l’APT provenga da uno stato sponsorizzato e abbia legami pro-India. È stato collegato ad attacchi contro entità governative del sud-est asiatico e preso di mira contro professionisti militari pakistani, funzionari elettorali indiani e agenzie nucleari.

Le app rilevate vengono utilizzate dal gruppo per scattare foto dalla fotocamera, richiedere privilegi elevati, eliminare messaggi whatsapp.

Secondo i ricercatori di Lookout, Apurva Kumar e Kristin Del Rosso, le app associate a SunBird hanno funzionalità più estese di Hornbil.

“A livello locale sul dispositivo infetto, i dati vengono raccolti nei database SQLite che vengono poi compressi in file ZIP quando vengono caricati nell’infrastruttura C2”, hanno detto i ricercatori.

Di seguito le domande di contraffazione pubblicate dal gruppo per spionaggio delle loro operazioni:

  • “Google Security Framework”,
  • “Kashmir News”,
  • “Falconry Connect”,
  • “Mania Soccer”
  • E “Quran Majeed”

I dati che possono essere raccolti SunBird:

  • Elenco delle app installate,
  • Cronologia del browser,
  • Informazioni sul calendario,
  • File audio BBM, documenti e immagini,
  • Audio, immagini e note vocali di Whatsapp,
  • Contenuto dell’applicazione di messaggistica IMO

Le app alimentate da SunBird possono eseguire le seguenti azioni:

  • Scarica contenuti sospetti tramite condivisioni FTP,
  • Esegui comandi arbitrari come root,
  • Raschiare messaggi, contatti e notifiche BBM

Falconry Connect è una di queste app alimentate da SunBird. Questo file dannoso esiste all’interno dell’APK nella posizione misteriosa: com.falconry.sun.SunServices. L’aspetto fuorviante in esso è l’uso di “Sun” sia nei nomi dello spazio dei nomi che in quelli delle directory, in modo che possa allontanare un analista che pensa che queste cartelle siano associate a Sum Microsystems dal linguaggio di programmazione Java.

Questa app può ex-filtrare i dati dell’utente al server C2 sunshinereal.000webhostapp [.] Com per effettuare chiamate periodiche a diversi PHP. Questo dominio non è scritto correttamente nel codice. Inoltre, il codice sorgente aveva il riferimento per accedere alla cartella “/ DCIM / Camera”.

Le varietà Hornbill sono di natura più passiva, come da Lookout. Afferma che il ceppo è stato utilizzato come strumenti di ricognizione, consumando il minimo delle risorse e della batteria.

Tuttavia, si è scoperto che Hornbill è più interessato a monitorare l’attività whatsapp degli utenti.

“Oltre a esfiltrare il contenuto del messaggio e le informazioni sul mittente dei messaggi, Hornbill registra le chiamate WhatsApp rilevando una chiamata attiva abusando dei servizi di accessibilità di Android”, hanno affermato i ricercatori di Lookout.

“Lo sfruttamento dei servizi di accessibilità di Android in questo modo è una tendenza che stiamo osservando frequentemente nel software di sorveglianza Android. Ciò consente all’attore della minaccia di evitare la necessità di aumentare i privilegi su un dispositivo “, hanno aggiunto i ricercatori.

More Stories

Aggiornamento di Windows 11: saluta queste funzionalità

Mark June 25, 2021

Massachusetts MassNotify App Android COVID forzata da Google

Mark June 21, 2021

Novità di Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

Come rimuovere DARKSET Ransomware e recuperare i file .DARKSET

Mark November 14, 2024

Come rimuovere My Tab Search il dirottatore del browser

Mark November 14, 2024

Come rimuovere 34knehyroodw.top dal PC

Mark November 14, 2024

Come rimuovere Ashc.store dal PC

Mark November 14, 2024

Come rimuovere Cr4.biz dal PC

Mark November 14, 2024