Androidスパイウェアは、州が後援する孔子APTにリンクされていることが判明しました

サイバーセキュリティ会社のLookoutは火曜日に、HornbillとSunBirdと呼ばれるものが2013年以来、孔子の高度な持続的脅威グループ（APT）によって偽のAndroidアプリとして配信されていると述べた。

APTは、国が後援するものであり、親インドとの関係があると考えられています。これは、東南アジアの政府機関に対する攻撃に関連しており、パキスタンの軍事専門家、インドの選挙当局、および原子力機関を標的としています。

検出されたアプリは、グループがカメラから写真を撮ったり、昇格された特権を要求したり、whatsappメッセージを破棄したりするために使用されます。

見張りの研究者であるApurvaKumarとKristinDel Rossoによると、SunBirdに関連付けられているアプリは、Hornbilよりも広範な機能を備えています。

「感染したデバイスのローカルでは、データはSQLiteデータベースに収集され、C2インフラストラクチャにアップロードされるときにZIPファイルに圧縮されます」と研究者は述べています。

以下は、彼らの活動をスパイするためにグループによって公開された偽造アプリケーションです。

• 「Googleセキュリティフレームワーク」
• 「カシミールニュース」、
• 「FalconryConnect」、
• 「マニアサッカー」
• そして「コーランマジード」

収集できるデータSunBird：

• インストールされているアプリのリスト、
• ブラウザの履歴、
• カレンダーに関する情報、
• BBMオーディオファイルとドキュメントおよび画像、
• Whatsappの音声、画像、音声メモ、
• IMOメッセージングアプリケーションのコンテンツ

SunBirdのパワードアプリは、次のアクションを実行できます。

• FTP共有を介して疑わしいコンテンツをダウンロードします。
• rootとして任意のコマンドを実行し、
• BBMメッセージ、連絡先、および通知をスクレープします

Falconry Connectは、SunBirdを利用したそのようなアプリの1つです。この悪意のあるファイルは、APK内の不思議な場所（com.falconry.sun.SunServices）に存在します。誤解を招くのは、名前空間名とディレクトリ名の両方で「Sun」を使用しているため、これらのフォルダがJavaプログラミング言語のSumMicrosystemsに関連付けられていると考えるアナリストを回避できることです。

このアプリは、ユーザーデータをC2サーバーsunshinereal.000webhostapp [。] comに抽出して、さまざまなPHPを定期的に呼び出すことができます。このドメインは、コード内で正しく綴られていません。また、ソースコードには「/ DCIM / Camera」フォルダへのアクセスへの参照が含まれていました。

サイチョウ株は、ルックアウトによると、本質的により受動的です。ひずみは偵察ツールとして使用されており、最小限のリソースとバッテリー電力しか消費していないと述べています。

ただし、Hornbillは、ユーザーのwhatsappアクティビティの監視に関心があることがわかりました。

「メッセージの内容とメッセージの送信者情報を盗み出すことに加えて、HornbillはAndroidのアクセシビリティサービスを悪用してアクティブな通話を検出することでWhatsAppの通話を記録します」とLookoutの研究者は述べています。

「この方法でのAndroidのユーザー補助サービスの利用は、Android監視ウェアで頻繁に見られる傾向です。これにより、脅威アクターはデバイスでの特権昇格の必要性を回避できます」と研究者は付け加えました。