Descobriu-se que o spyware do Android está ligado ao Confucius APT, patrocinado pelo estado
Lookout, uma empresa de segurança cibernética, na terça-feira, disse, apelidado de Hornbill e SunBird foram entregues como aplicativos Android falsos pelo grupo de ameaça persistente avançada Confucius (APT), desde 2013.
O APT é patrocinado pelo estado e tem laços pró-Índia. Tem sido relacionado a ataques contra entidades governamentais do Sudeste Asiático e dirigido contra profissionais militares do Paquistão, autoridades eleitorais indianas e agências nucleares.
Os aplicativos detectados são usados pelo grupo para tirar fotos da câmera, solicitar privilégios elevados, descartar mensagens do Whatsapp.
De acordo com os pesquisadores observadores, Apurva Kumar e Kristin Del Rosso, os aplicativos associados ao SunBird têm recursos mais extensos que os do Hornbil.
“Localmente no dispositivo infectado, os dados são coletados em bancos de dados SQLite que são compactados em arquivos ZIP à medida que são carregados para a infraestrutura C2”, disseram os pesquisadores.
A seguir estão os aplicativos falsificados publicados pelo grupo para espionagem de suas operações:
- “Estrutura de segurança do Google,”
- “Notícias da Caxemira”,
- “Falconry Connect”,
- “Futebol Mania”
- E “Quran Majeed”
Os dados que podem ser coletados SunBird:
- Lista de aplicativos instalados,
- Histórico do navegador,
- Informações sobre o calendário,
- Arquivos de áudio BBM, documentos e imagens,
- Áudios, imagens e notas de voz do Whatsapp,
- Conteúdo do aplicativo de mensagens IMO
Os aplicativos da SunBird podem realizar as seguintes ações:
- Baixe conteúdo suspeito por meio de compartilhamentos de FTP,
- Execute comandos arbitrários como root,
- Raspe mensagens, contatos e notificações do BBM
Falconry Connect é um desses aplicativos desenvolvido pela SunBird. Este arquivo malicioso existe dentro do APK no local misterioso – com.falconry.sun.SunServices. O enganoso nisso é o uso de “Sun” tanto no namespace quanto nos nomes de diretório, para evitar que um analista pense que essas pastas estão associadas a Sum Microsystems da linguagem de programação Java.
Este aplicativo pode filtrar dados do usuário para o servidor C2 sunshinereal.000webhostapp [.] Com para fazer chamadas periódicas para diferentes PHPs. Este domínio não está escrito corretamente no código. Além disso, o código-fonte tinha como referência o acesso à pasta “/ DCIM / Camera”.
As cepas de Hornbill são mais passivas por natureza, de acordo com o Lookout. Ele afirma que a tensão tem sido usada como ferramentas de reconhecimento, consumindo o mínimo de recursos e energia da bateria.
No entanto, o Hornbill está mais interessado em monitorar a atividade de Whatsapp dos usuários.
“Além de exfiltrar o conteúdo da mensagem e as informações do remetente das mensagens, o Hornbill grava as chamadas do WhatsApp ao detectar uma chamada ativa abusando dos serviços de acessibilidade do Android”, disseram os pesquisadores da Lookout.
“A exploração dos serviços de acessibilidade do Android dessa maneira é uma tendência que observamos com frequência no software de vigilância Android. Isso permite que o agente da ameaça evite a necessidade de escalonamento de privilégios em um dispositivo ”, acrescentaram os pesquisadores.