发现Android间谍软件已链接到国家赞助的孔子APT

网络安全公司Lookout在周二表示,自2013年以来,孔子高级持续威胁小组(APT)已将它们称为Hornbill和SunBird作为伪造的Android应用交付。

APT被认为是国家赞助的,具有亲印关系。它与对东南亚政府实体的袭击有关,针对的是巴基斯坦军事专业人员,印度选举官员和核机构。

小组使用检测到的应用程序从相机拍照,请求提升的特权,删除whatsapp消息。

根据监视研究人员Apurva Kumar和Kristin Del Rosso的说法,与SunBird关联的应用程序具有比Hornbil更广泛的功能。

研究人员说:“在受感染设备的本地,数据收集在SQLite数据库中,然后在将其上传到C2基础结构时压缩为ZIP文件。”

以下是该团体发布的用于伪造其业务的假冒申请:

  • “ Google安全框架”,
  • “克什米尔新闻”,
  • “猎鹰连接”,
  • “疯狂足球”
  • 还有《古兰经》(Quran Majeed)

SunBird可以收集的数据:

  • 已安装的应用列表,
  • 浏览器历史记录,
  • 有关日历的信息,
  • BBM音频文件以及文档和图像,
  • Whatsapp的音频,图像和语音注释,
  • IMO消息传递应用程序中的内容

SunBird支持的应用程序可以执行以下操作:

  • 通过FTP共享下载可疑内容,
  • 以root身份运行任意命令,
  • 删除BBM消息,联系人和通知

Falconry Connect是由SunBird提供支持的此类应用程序之一。此恶意文件位于APK中神秘位置com.falconry.sun.SunServices下。误导性在于名称空间和目录名称中都使用“ Sun”,因此它可以避开认为这些文件夹与Java编程语言中的Sum Microsystems相关联的分析师。

该应用程序可以将用户数据过滤到C2服务器sunshinereal.000webhostapp [。] com,以定期调用不同的PHP。该域在代码中没有正确拼写。同样,源代码具有访问“ / DCIM / Camera”文件夹的参考。

根据Lookout,犀鸟菌株在性质上更被动。它指出,这种应变已被用作侦察工具,消耗的资源和电池电量最少。

但是,人们发现犀鸟对监视用户的whatsapp活动更感兴趣。

Lookout的研究人员说:“除了泄露消息内容和消息的发件人信息外,Hornbill还通过滥用Android的辅助功能服务来检测活动呼叫,从而记录WhatsApp的呼叫。”

“以这种方式利用Android的辅助功能是我们在Android监视软件中经常观察到的趋势。这使威胁参与者可以避免在设备上进行特权升级的必要。”研究人员补充说。