Malware na Androida atakuje podmioty militarne i energetyczne

Celami przede wszystkim podmioty krytyczne w Pakistanie

Rodziny szkodliwego oprogramowania były widoczne w atakach na personel powiązany z pakistańskimi władzami wojskowymi i różnymi podmiotami nuklearnymi oraz indyjskimi urzędnikami w Kaszmirze.

Chociaż dokładna liczba ofiar we wszystkich kampaniach dla SunBird i Hornbill nie jest znana, to co najmniej 156 ofiar zostało zidentyfikowanych w jednej kampanii, a zawierały one numery telefonów z Indii, Pakistanu i Kazachstanu. Oczywiście nie są to jedyne dotknięte państwa. Liczba krajów szacowana jest na 14.

Na przykład napastnicy celowali w osobę, która ubiegała się o stanowisko w Pakistańskiej Komisji Energii Atomowej, osoby mające liczne kontakty w pakistańskich siłach powietrznych, a także oficerów odpowiedzialnych za listy wyborcze w dystrykcie Pulwama w Kaszmirze.

Jeśli chodzi o początkowe wektory ataku, badacze wskazali na próbki SunBird znalezione w sklepach z aplikacjami innych firm, co stanowi wskazówkę dotyczącą jednego z możliwych mechanizmów dystrybucji. Jednak badacze nie znaleźli jeszcze SunBird na oficjalnym rynku Google Play.

SunBird podszywał się pod aplikacje takie jak: – usługi bezpieczeństwa (w tym fikcyjne „Google Security Framework”) – aplikacje powiązane z określonymi lokalizacjami (np. „Kashmir News”) – aktywnościami społecznymi (w tym „Falconry Connect” lub „Mania Soccer”).

Tymczasem Hornbill podszywa się pod różne czaty (takie jak Fruit Chat, Cucu Chat i Kako Chat) oraz aplikacje systemowe.

Możliwości malware

Obie te rodziny szkodliwego oprogramowania mają szeroki zakres możliwości eksfiltracji danych. Są w stanie pobierać dzienniki połączeń, kontakty, metadane urządzenia, geolokalizację, obrazy przechowywane w pamięci zewnętrznej, a nawet notatki głosowe WhatsApp. Ponadto oba wirusy mogą prosić o uprawnienia administratora urządzenia, robić zrzuty ekranu, robić zdjęcia aparatem urządzenia, nagrywać środowisko i dzwonić, a także pobierać wiadomości i kontakty WhatsApp oraz powiadomienia WhatsApp.

SunBird ma szerszy zestaw złośliwych funkcji niż Hornbill, z możliwością przesyłania wszystkich danych w regularnych odstępach czasu na swoje serwery C2. Na przykład, może również gromadzić listę aplikacji zainstalowanych na urządzeniach ofiar, historię przeglądarki, informacje z kalendarza, pliki audio WhatsApp, dokumenty, bazy danych, obrazy i nie tylko. Może również wykonywać zdalne polecenia atakującego jako root urządzenia. Czyni go to szczególnie niebezpieczną bronią.

W przeciwieństwie do tego Hornbill jest bardziej pasywnym narzędziem rozpoznawczym. Atakuje ograniczony zestaw danych i przesyła je tylko podczas pierwszego uruchomienia, a nie w regularnych odstępach czasu, jak w przypadku SunBird. Następnie przesyła do atakującego tylko różnice i nowe zmiany w danych, tzw. delty, aby utrzymać niskie zużycie baterii oraz nie wzbudzić podejrzeń.

Podsumowanie

Opisywane rodziny złośliwego oprogramowania na urządzenia z systemem Android zostały z dużym prawdopodobieństwem powiązane z grupą APT Confucius. Są oni na scenie cyberprzestępczości od 2013 roku jako sponsorowany przez państwo indyjskie aktor. APT wcześniej celowało w ofiary w Pakistanie i Azji Południowej.

Jeśli tak jest, to kampanie wykorzystujące te narzędzia są i będą skierowane do konkretnego grona osób i „szarzy” użytkownicy smartfonów nie mają się czego obawiać. Warto jednak wiedzieć, że powstają coraz bardziej zaawansowane zagrożenia mogące wyciągać praktycznie wszystkie informacje z naszego urządzenia bez wzbudzania żadnych podejrzeń.