发现Android间谍软件已链接到国家赞助的孔子APT
网络安全公司Lookout在周二表示,自2013年以来,孔子高级持续威胁小组(APT)已将它们称为Hornbill和SunBird作为伪造的Android应用交付。
APT被认为是国家赞助的,具有亲印关系。它与对东南亚政府实体的袭击有关,针对的是巴基斯坦军事专业人员,印度选举官员和核机构。
小组使用检测到的应用程序从相机拍照,请求提升的特权,删除whatsapp消息。
根据监视研究人员Apurva Kumar和Kristin Del Rosso的说法,与SunBird关联的应用程序具有比Hornbil更广泛的功能。
研究人员说:“在受感染设备的本地,数据收集在SQLite数据库中,然后在将其上传到C2基础结构时压缩为ZIP文件。”
以下是该团体发布的用于伪造其业务的假冒申请:
- “ Google安全框架”,
- “克什米尔新闻”,
- “猎鹰连接”,
- “疯狂足球”
- 还有《古兰经》(Quran Majeed)
SunBird可以收集的数据:
- 已安装的应用列表,
- 浏览器历史记录,
- 有关日历的信息,
- BBM音频文件以及文档和图像,
- Whatsapp的音频,图像和语音注释,
- IMO消息传递应用程序中的内容
SunBird支持的应用程序可以执行以下操作:
- 通过FTP共享下载可疑内容,
- 以root身份运行任意命令,
- 删除BBM消息,联系人和通知
Falconry Connect是由SunBird提供支持的此类应用程序之一。此恶意文件位于APK中神秘位置com.falconry.sun.SunServices下。误导性在于名称空间和目录名称中都使用“ Sun”,因此它可以避开认为这些文件夹与Java编程语言中的Sum Microsystems相关联的分析师。
该应用程序可以将用户数据过滤到C2服务器sunshinereal.000webhostapp [。] com,以定期调用不同的PHP。该域在代码中没有正确拼写。同样,源代码具有访问“ / DCIM / Camera”文件夹的参考。
根据Lookout,犀鸟菌株在性质上更被动。它指出,这种应变已被用作侦察工具,消耗的资源和电池电量最少。
但是,人们发现犀鸟对监视用户的whatsapp活动更感兴趣。
Lookout的研究人员说:“除了泄露消息内容和消息的发件人信息外,Hornbill还通过滥用Android的辅助功能服务来检测活动呼叫,从而记录WhatsApp的呼叫。”
“以这种方式利用Android的辅助功能是我们在Android监视软件中经常观察到的趋势。这使威胁参与者可以避免在设备上进行特权升级的必要。”研究人员补充说。