février 14, 2021

Souches de logiciels espions Android liées au groupe de menaces Confucius sponsorisé par l’État

Par admin2020

[ad_1]

Deux variantes de logiciels espions Android connectés à des campagnes de piratage pro-indiennes, parrainées par l’État, ont été découvertes.

Mardi, la société de cybersécurité Lookout a déclaré que deux souches de malwares, surnommés Hornbill et SunBird, ont été liés à Confucius, un groupe de menace persistante avancée (APT) censé être parrainé par l’État et avoir des liens pro-indiens.

Détecté pour la première fois en 2013, Confucius a été lié à des attaques contre des entités gouvernementales Asie du sud est, ainsi que des frappes ciblées contre le personnel militaire pakistanais, les responsables électoraux indiens et les agences nucléaires.

Selon la société de cybersécurité, l’APT peut être raisonnablement lié à Hornbill et SunBird, deux formes de logiciels espions Android. Plus précisément, le malware semble se concentrer sur la compromission de la plate-forme de messagerie Whatsapp et sur l’exfiltration du contenu des conversations.

L’analyse du malware par l’équipe suggère que Hornbill est basé sur MobileSpy, une application de stalkerware commerciale pour la surveillance à distance des appareils Android qui a été retirée en 2018. SunBird, cependant, semble avoir une base de code similaire à BuzzOut, une ancienne forme de logiciel espion développée en Inde .

Confucius était connu pour avoir utilisé ChatSpy à des fins de surveillance en 2017, mais on pense que SunBird est antérieur à ce malware. Il ne semble pas y avoir de nouvelles campagnes utilisant SunBird, qui auraient été en développement actif entre 2016 et début 2019; cependant, Hornbill a été retrouvé dans une vague d’attaques datant de décembre 2020.

Apurva Kumar, ingénieur du renseignement de sécurité du personnel de Lookout, explique que les deux formes de logiciels espions abusent des services d’accessibilité Android pour piller Whatsapp pour obtenir des informations et exfiltrer le contenu sans avoir besoin d’un accès root ou d’un appareil jailbreaké.

Les applications mobiles contenant le malware semblent être hébergées en dehors de Google Play et sont proposées sous forme de progiciels comprenant le faux «Google Security Framework», des agrégateurs de nouvelles locales, des applications liées à l’islam et des logiciels de sport. Selon Lookout, la majorité de ces applications malveillantes semblent cibler la population musulmane.

Hornbill et SunBird ont des approches différentes de l’espionnage. Hornbill est décrit comme un «outil de surveillance discret» conçu pour voler de manière sélective des données d’intérêt pour son opérateur, tandis que SunBird contient la fonctionnalité Remote Access Trojan (RAT), permettant le déploiement supplémentaire de logiciels malveillants et le piratage à distance.

Cependant, les deux variantes de logiciels malveillants peuvent voler des données, notamment des identifiants d’appareil, des journaux d’appels, des notes vocales WhatsApp, des listes de contacts et des informations de localisation GPS. En outre, ils peuvent demander des privilèges d’administrateur sur un appareil compromis, prendre des captures d’écran et des photos, et enregistrer du son à la fois lors des appels ou simplement en tant que bruit ambiant.

Les capacités de SunBird vont au-delà de celles de Hornbill car ce malware est également capable de récupérer les historiques de navigateur, les informations de calendrier, le contenu BlackBerry Messenger (BBM) et le contenu WhatsApp plus complet, y compris des documents, des bases de données et des images. SunBird essaiera également de télécharger des données volées sur un serveur de commande et de contrôle (C2) à des intervalles plus réguliers que Hornbill.

Cependant, Hornbill est capable de détecter et d’enregistrer les appels WhatsApp actifs en abusant des fonctions d’accessibilité d’Android.

«L’effet de levier des services d’accessibilité d’Android de cette manière est une tendance que nous observons fréquemment dans les logiciels de surveillance Android, évitant le besoin d’une élévation de privilèges sur un appareil», disent les chercheurs.

Couverture antérieure et connexe


Vous avez un conseil? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713025499, ou plus à Keybase: charlie0


[ad_2]

Source link