Menu dostępności

Malware na Androida atakuje podmioty militarne i energetyczne

Specjaliści odkryli dwie nowe rodziny złośliwego oprogramowania na urządzenia Android, których zadaniem jest monitorowanie pracy urządzenia i eksfiltrację użytecznych informacji. Nowy malware jest podobno wykorzystywany przez grupy APT do atakowania organizacji wojskowych, nuklearnych oraz politycznych w Pakistanie i Kaszmirze.

Dwie rodziny szkodliwego oprogramowania, które odkrywcy nazywali „Hornbill” i „SunBird”, mają zaawansowane możliwości eksfiltracji wiadomości SMS, treści z szyfrowanych komunikatorów oraz lokalizacji, ale też innych poufnych informacji.

Hornbill po raz pierwszy „widziany” był już w maju 2018 r., ale najnowsza wersja tego złośliwego oprogramowania pojawiła się w grudniu 2020 r. Jeśli chodzi o Sunbird’a to pierwsza próbka pochodzi z 2017 r., a ostatnio był aktywny w grudniu 2019 r.

Oba wirusy mają zarówno podobieństwa, jak i różnice w sposobie działania na zainfekowanym urządzeniu. SunBird oferuje funkcję trojana zdalnego dostępu (RAT) – złośliwego oprogramowania, które może wykonywać polecenia na zainfekowanym urządzeniu zgodnie z żądaniem atakującego. Hornbill to dyskretne narzędzie monitorujące wykorzystywane do wyodrębniania wybranego zestawu danych interesujących jego operatora.


Celami przede wszystkim podmioty krytyczne w Pakistanie

Rodziny szkodliwego oprogramowania były widoczne w atakach na personel powiązany z pakistańskimi władzami wojskowymi i różnymi podmiotami nuklearnymi oraz indyjskimi urzędnikami w Kaszmirze.

Chociaż dokładna liczba ofiar we wszystkich kampaniach dla SunBird i Hornbill nie jest znana, to co najmniej 156 ofiar zostało zidentyfikowanych w jednej kampanii, a zawierały one numery telefonów z Indii, Pakistanu i Kazachstanu. Oczywiście nie są to jedyne dotknięte państwa. Liczba krajów szacowana jest na 14.

Na przykład napastnicy celowali w osobę, która ubiegała się o stanowisko w Pakistańskiej Komisji Energii Atomowej, osoby mające liczne kontakty w pakistańskich siłach powietrznych, a także oficerów odpowiedzialnych za listy wyborcze w dystrykcie Pulwama w Kaszmirze.

Jeśli chodzi o początkowe wektory ataku, badacze wskazali na próbki SunBird znalezione w sklepach z aplikacjami innych firm, co stanowi wskazówkę dotyczącą jednego z możliwych mechanizmów dystrybucji. Jednak badacze nie znaleźli jeszcze SunBird na oficjalnym rynku Google Play.

SunBird podszywał się pod aplikacje takie jak: – usługi bezpieczeństwa (w tym fikcyjne „Google Security Framework”) – aplikacje powiązane z określonymi lokalizacjami (np. „Kashmir News”) – aktywnościami społecznymi (w tym „Falconry Connect” lub „Mania Soccer”).

Tymczasem Hornbill podszywa się pod różne czaty (takie jak Fruit Chat, Cucu Chat i Kako Chat) oraz aplikacje systemowe.


Możliwości malware

Obie te rodziny szkodliwego oprogramowania mają szeroki zakres możliwości eksfiltracji danych. Są w stanie pobierać dzienniki połączeń, kontakty, metadane urządzenia, geolokalizację, obrazy przechowywane w pamięci zewnętrznej, a nawet notatki głosowe WhatsApp. Ponadto oba wirusy mogą prosić o uprawnienia administratora urządzenia, robić zrzuty ekranu, robić zdjęcia aparatem urządzenia, nagrywać środowisko i dzwonić, a także pobierać wiadomości i kontakty WhatsApp oraz powiadomienia WhatsApp.

SunBird ma szerszy zestaw złośliwych funkcji niż Hornbill, z możliwością przesyłania wszystkich danych w regularnych odstępach czasu na swoje serwery C2. Na przykład, może również gromadzić listę aplikacji zainstalowanych na urządzeniach ofiar, historię przeglądarki, informacje z kalendarza, pliki audio WhatsApp, dokumenty, bazy danych, obrazy i nie tylko. Może również wykonywać zdalne polecenia atakującego jako root urządzenia. Czyni go to szczególnie niebezpieczną bronią.

W przeciwieństwie do tego Hornbill jest bardziej pasywnym narzędziem rozpoznawczym. Atakuje ograniczony zestaw danych i przesyła je tylko podczas pierwszego uruchomienia, a nie w regularnych odstępach czasu, jak w przypadku SunBird. Następnie przesyła do atakującego tylko różnice i nowe zmiany w danych, tzw. delty, aby utrzymać niskie zużycie baterii oraz nie wzbudzić podejrzeń.


Podsumowanie

Opisywane rodziny złośliwego oprogramowania na urządzenia z systemem Android zostały z dużym prawdopodobieństwem powiązane z grupą APT Confucius. Są oni na scenie cyberprzestępczości od 2013 roku jako sponsorowany przez państwo indyjskie aktor. APT wcześniej celowało w ofiary w Pakistanie i Azji Południowej.

Jeśli tak jest, to kampanie wykorzystujące te narzędzia są i będą skierowane do konkretnego grona osób i „szarzy” użytkownicy smartfonów nie mają się czego obawiać. Warto jednak wiedzieć, że powstają coraz bardziej zaawansowane zagrożenia mogące wyciągać praktycznie wszystkie informacje z naszego urządzenia bez wzbudzania żadnych podejrzeń.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...