Forscher decken Android-Spionage-Kampagne auf, die auf pakistanische Beamte abzielt

  • Zwei neue Android-Überwachungssoftware-Familien wurden entdeckt, die als Teil einer pro-indischen, staatlich geförderten Hacking-Kampagne auf Militär-, Nuklear- und Wahleinrichtungen in Pakistan und Kaschmir abzielen.

    Die Malware mit den Namen Hornbill und Sunbird gibt sich als legitime oder scheinbar harmlose Dienste aus, um ihre Spuren zu verwischen, und sammelt dann heimlich SMS, verschlüsselte Inhalte von Messaging-Apps und Geolocation sowie andere sensible Daten.

    Die von Lookout veröffentlichten Erkenntnisse sind das Ergebnis einer Analyse von 18 GB exfiltrierter Daten, die von mindestens sechs unsicher konfigurierten Command-and-Control (C2)-Servern in Indien öffentlich zugänglich gemacht wurden.

    “Einige bemerkenswerte Ziele waren eine Person, die sich für eine Position bei der pakistanischen Atomenergie-Kommission beworben hat, Personen mit zahlreichen Kontakten in der pakistanischen Luftwaffe (PAF) sowie Beamte, die für die Wählerlisten (Booth Level Officers) im Pulwama-Distrikt von Kaschmir zuständig sind”, so die Forscher in einer Analyse vom Mittwoch.

    [Blocked Image: https://thehackernews.com/images/-Ql20Im9cD4w/YArTIfc-0yI/AAAAAAAA3iE/cxUBgG0eaUkSAx-yYkmOvaA-bPT90lRGwCLcBGAsYHQ/s728-e100/week-password-728.jpg]

    Insgesamt zielten die Angriffe in den letzten Jahren auf 156 Opfer mit Telefonnummern aus Indien, Pakistan und Kasachstan.

    Lookout schrieb die beiden Tools einer Advanced Persistent Threat (APT) zu, die als Confucius verfolgt wird, eine Gruppe, die mindestens seit 2013 für ihre Angriffe auf südasiatische Länder bekannt ist. Die Cybersecurity-Firma nannte Hornbill ein “passives Aufklärungswerkzeug”.

    [Blocked Image: https://thehackernews.com/images/-2kVEGQRiaBE/YCVWf3HY8eI/AAAAAAAABwA/GIT3yYR6NAk4gWMFw2t9ryFXjTDGVFLOACLcBGAsYHQ/s0/android-malware.jpg]

    Während Hornbill von der gleichen Codebasis abgeleitet zu sein scheint wie ein zuvor aktives kommerzielles Überwachungsprodukt namens MobileSpy, wurde SunBird zu einer Gruppe indischer Entwickler hinter einer anderen mobilen Tracking-Software namens BuzzOut zurückverfolgt. Die von Lookout aufgedeckten Hinweise deuten auch darauf hin, dass die Betreiber von Hornbill bei verschiedenen Android- und iOS-App-Entwicklungsfirmen zusammenarbeiteten, die in oder in der Nähe der indischen Stadt Chandigarh registriert und tätig sind.

    Beide Spionageprogramme sind in der Lage, eine Vielzahl von Daten zu sammeln, z. B. Anrufprotokolle, Kontakte, Systeminformationen, Standortdaten, auf externen Laufwerken gespeicherte Fotos, Audio- und Videoaufzeichnungen sowie Screenshots, wobei ein besonderer Schwerpunkt auf dem Plündern von WhatsApp-Nachrichten und Sprachnotizen liegt, indem die Zugriffs-APIs von Android missbraucht werden.

    [Blocked Image: https://thehackernews.com/images/-sbvwifxY6RA/YCVWwU4V0YI/AAAAAAAABwI/AxyVvsBbTpk_yvp6ya48I1pZQ3T2GMkKACLcBGAsYHQ/s0/hacking.jpg]

    SunBird unterscheidet sich von Hornbill auch dadurch, dass ersterer über eine Remote-Access-Trojaner-Funktionalität (RAT) verfügt, die es den Angreifern ermöglicht, beliebige Befehle auf dem Zielgerät auszuführen. Darüber hinaus ist er in der Lage, Browserverläufe und Kalenderinformationen zu exfiltrieren und sogar Inhalte von BlackBerry Messenger und IMO Instant Messaging-Apps abzuschöpfen.

    “Samples von SunBird wurden in App-Stores von Drittanbietern gefunden, was auf einen möglichen Verbreitungsmechanismus hindeutet”, so die Forscher weiter. “In Anbetracht der Tatsache, dass viele dieser Malware-Samples trojanisiert sind – d. h. sie enthalten die komplette Benutzerfunktionalität – könnte auch Social Engineering eine Rolle spielen, um die Zielpersonen zur Installation der Malware zu bewegen.”

    Lookout identifizierte Hornbill-Samples erst im Dezember 2020, was auf eine aktive Nutzung der Malware seit ihrer Entdeckung im Jahr 2018 hinweist. Auf der anderen Seite scheint Sunbird in den Jahren 2018 und 2019 aktiv eingesetzt worden zu sein, bevor der Bedrohungsakteur im letzten Jahr zu einem anderen Android-basierten Spyware-Produkt namens ChatSpy wechselte.

    [Blocked Image: https://thehackernews.com/images/-iANNSVILUto/YCVXUgFmEpI/AAAAAAAABwQ/yXImadk90VQ4WlgUg-_zOXQjBbB6MpXWwCLcBGAsYHQ/s0/code.jpg]

    Interessanterweise offenbart die von Hornbill und Sunbird gemeinsam genutzte C2-Infrastruktur weitere Verbindungen zu anderen Stalkerware-Operationen, die von der Confucius-Gruppe durchgeführt wurden – einschließlich eines öffentlich zugänglichen pakistanischen Regierungshinweises aus dem Jahr 2018, der vor einer Desktop-Malware-Kampagne warnt, die auf Offiziere und Regierungsmitarbeiter abzielt -, was darauf hindeutet, dass die beiden Tools von demselben Akteur für unterschiedliche Überwachungszwecke verwendet werden.

    Obwohl Indien ein relativ neuer Teilnehmer im Spionage- und Überwachungssektor ist, haben Citizen Lab-Forscher im vergangenen Juni eine in Delhi ansässige Söldnergruppe namens BellTroX InfoTech geoutet, die darauf abzielte, Anmeldedaten von Journalisten, Interessengruppen, Investmentfirmen und einer Reihe anderer hochrangiger Ziele zu stehlen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com