Ερευνητές ασφαλείας της Lookout ανακάλυψαν δύο παραλλαγές ενός Android spyware που έχει συνδεθεί με hacking εκστρατείες που υποστηρίζονται από την Ινδία.
Οι δύο παραλλαγές, που ονομάστηκαν Hornbill και SunBird, έχουν συνδεθεί με την κρατική hacking ομάδα Confucius, που πιστεύεται ότι χρηματοδοτείται από την Ινδία.
Η Confucius εντοπίστηκε πρώτη φορά το 2013 και λέγεται ότι έχει πραγματοποιήσει επιθέσεις εναντίον κυβερνητικών φορέων στη Νοτιοανατολική Ασία κλπ.
Σύμφωνα με την εταιρεία ασφαλείας, η hacking ομάδα φαίνεται να συνδέεται με τις δύο νέες παραλλαγές του spyware. Το συγκεκριμένο Android spyware φαίνεται να επικεντρώνεται στην παραβίαση της εφαρμογής Whatsapp και στην κλοπή των συνομιλιών των χρηστών.
Η ανάλυση δείχνει ότι το Hornbill βασίζεται στο MobileSpy, ένα stalkerware app που επέτρεπε την απομακρυσμένη παρακολούθηση συσκευών Android. Το SunBird, από την άλλη, φαίνεται να έχει παρόμοιο codebase με το BuzzOut, μια παλιά μορφή spyware που αναπτύχθηκε στην Ινδία.
Η Confucius είχε χρησιμοποιήσει το 2017 το ChatSpy, αλλά πιστεύεται ότι τόσο το Hornbill όσο και το SunBird χρησιμοποιούνταν από την ομάδα πριν από αυτό το malware. Οι ειδικοί πιστεύουν ότι το SunBird ήταν ενεργό από το 2016 έως τις αρχές του 2019. Όμως, το Hornbill βρέθηκε και σε επιθέσεις κατά τη διάρκεια του Δεκεμβρίου του 2020.
Ερευνητής της Lookout λέει ότι και οι δύο μορφές spyware καταχρώνται υπηρεσίες προσβασιμότητας του Android για να παραβιάσουν το Whatsapp και να κλέψουν πληροφορίες και συνομιλίες χωρίς να υπάρχει ανάγκη για root access ή jailbroken συσκευή.
Οι εφαρμογές που περιέχουν το spyware φαίνεται να φιλοξενούνται εκτός του Google Play και προσφέρονται ως software packages (π.χ. το ψεύτικο “Google Security Framework”, τοπικά προγράμματα ειδήσεων, εφαρμογές που σχετίζονται με το Ισλάμ και αθλητικές εφαρμογές). Σύμφωνα με τους ερευνητές της Lookout, οι περισσότερες από αυτές τις εφαρμογές φαίνεται να στοχεύουν τον μουσουλμανικό πληθυσμό.
Οι αναλύσεις έδειξαν ότι το Hornbill και το SunBird κατασκοπεύουν τους στόχους με διαφορετικό τρόπο. Το Hornbill περιγράφεται ως “διακριτικό εργαλείο παρακολούθησης” που έχει σχεδιαστεί για να κλέβει συγκεκριμένα δεδομένα που ενδιαφέρουν τον χειριστή του. Αντίθετα, το SunBird περιέχει Remote Access Trojan (RAT) λειτουργία και μπορεί να αναπτύξει πρόσθετο malware και να χειριστεί τις συσκευές απομακρυσμένα.
Ωστόσο, και οι δύο παραλλαγές του Android spyware μπορούν να κλέψουν δεδομένα, όπως αναγνωριστικά συσκευών, αρχεία καταγραφής κλήσεων, φωνητικές σημειώσεις WhatsApp, λίστες επαφών και πληροφορίες τοποθεσίας. Επιπλέον, μπορούν να ζητήσουν δικαιώματα διαχειριστή σε μια συσκευή, να τραβήξουν screenshots και φωτογραφίες και να ηχογραφήσουν κλήσεις αλλά και ήχους από το περιβάλλον.
Το SunBird είναι ακόμα πιο εξελιγμένο από το Hornbill. Πέρα από τα παραπάνω, μπορεί να παρακολουθήσει το ιστορικό του browser, πληροφορίες ημερολογίου, περιεχόμενο BlackBerry Messenger (BBM) και άλλα στοιχεία του WhatsApp, συμπεριλαμβανομένων εγγράφων, βάσεων δεδομένων και εικόνων.
Πηγή: ZDNet