Os pesquisadores descobriram duas novas famílias de software de vigilância Android sendo usadas por um grupo de ameaças persistentes avançadas (APT) para atingir entidades militares, nucleares e eleitorais no Paquistão e na Caxemira.
As duas famílias de malware, que os pesquisadores chamam de “Hornbill” e “SunBird”, possuem recursos sofisticados para exfiltrar mensagens SMS, conteúdo de aplicativos de mensagens criptografadas e geolocalização, bem como outros tipos de informações confidenciais.
Os pesquisadores viram o Hornbill pela primeira vez em maio de 2018, com amostras mais recentes do malware surgindo em dezembro de 2020. Eles disseram que a primeira amostra do Sunbird remonta a 2017 e foi vista ativa pela última vez em dezembro de 2019.
O Hornbill e o SunBird têm semelhanças e diferenças na maneira como operam em um dispositivo infectado”, disse Apurva Kumar, engenheiro de inteligência de segurança da equipe, e Kristin Del Rosso, pesquisadora sênior de inteligência de segurança da Lookout, na quinta-feira. “Embora o SunBird tenha a funcionalidade de cavalo de tróia de acesso remoto (RAT) – um malware que pode executar comandos em um dispositivo infectado conforme direcionado por um invasor – o Hornbill é uma ferramenta de vigilância discreta usada para extrair um conjunto selecionado de dados de interesse para seu operador.”
Ataque de malware direcionado a entidades militares, nucleares e eleitorais
As cepas de malware foram vistas em ataques dirigidos a funcionários ligados aos militares do Paquistão e a várias autoridades nucleares, além de autoridades eleitorais indianas na Caxemira. Os caxemires são um grupo étnico Dardic nativo do disputado Vale da Caxemira (e um alvo anterior de outros agentes de ameaças de malware do Android).
“Embora o número exato de vítimas não seja conhecido em todas as campanhas do SunBird e Hornbill, pelo menos 156 vítimas foram identificadas em uma única campanha do Sunbird em 2019 e incluíram números de telefone da Índia, Paquistão e Cazaquistão”, disse Kumar. “De acordo com os dados exfiltrados publicamente expostos que conseguimos encontrar, indivíduos em pelo menos 14 países diferentes foram visados.”
Por exemplo, os agressores visaram um indivíduo que se candidatou a um cargo na Comissão de Energia Atômica do Paquistão, indivíduos com vários contatos na Força Aérea do Paquistão, bem como oficiais responsáveis por cadernos eleitorais localizados no distrito de Pulwama, na Caxemira.
Em relação aos vetores de ataque iniciais para as amostras de malware, os pesquisadores apontaram para amostras do SunBird encontradas hospedadas em lojas de aplicativos de terceiros, fornecendo uma pista para um possível mecanismo de distribuição. No entanto, os pesquisadores ainda não encontraram SunBird no mercado oficial do Google Play.
O SunBird foi disfarçado como aplicativos como serviços de segurança (incluindo um “Google Security Framework” fictício), aplicativos vinculados a locais específicos (como “Kashmir News”) ou atividades (“incluindo“ Falconry Connect ”ou“ Mania Soccer ”). Os pesquisadores disseram que a maioria desses aplicativos parece ter como alvo indivíduos muçulmanos. Enquanto isso, os aplicativos do Hornbill personificam vários bate-papos (como o Fruit Chat, Cucu Chat e Kako Chat) e aplicativos de sistema.
“Considerando que muitas dessas amostras de malware são trojanizadas – já que contêm funcionalidade completa do usuário – a engenharia social também pode desempenhar um papel no convencimento de alvos a instalar o malware”, disseram Kumar e Del Rosso. “Nenhum uso de exploits foi observado diretamente pelos pesquisadores da Lookout.”
Capacidades de vigilância de segurança cibernética de malware
Ambas as famílias de malware têm uma ampla gama de recursos de exfiltração de dados. Eles são capazes de coletar registros de chamadas, contatos, metadados do dispositivo (como números de telefone, modelos, fabricantes e versão do sistema operacional Android), geolocalização, imagens armazenadas em armazenamento externo e anotações de voz do WhatsApp.
Além disso, ambas as famílias podem solicitar privilégios de administrador do dispositivo, fazer capturas de tela de quaisquer que sejam as vítimas que estão visualizando em seus dispositivos, tirar fotos com a câmera do dispositivo, gravar ambiente e chamar áudio e copiar mensagens e contatos do WhatsApp e notificações do WhatsApp (via serviço de acessibilidade do Android recurso ).
O SunBird tem um conjunto mais extenso de funcionalidades maliciosas do que o Hornbill, com a capacidade de fazer upload de todos os dados em intervalos regulares para seus servidores C2. Por exemplo, o SunBird também pode coletar uma lista de aplicativos instalados nos dispositivos das vítimas, histórico do navegador, informações de calendário, arquivos de áudio do WhatsApp, documentos, bancos de dados e imagens e muito mais. E pode executar comandos arbitrários como root ou baixar conteúdo especificado pelo invasor de compartilhamentos de FTP.
“Em contraste, o Hornbill é mais uma ferramenta passiva de reconhecimento do que o SunBird”, disseram Kumar e Del Rosso. “Ele não visa apenas um conjunto limitado de dados, o malware apenas carrega os dados quando é executado inicialmente e não em intervalos regulares como o SunBird. Depois disso, ele apenas carrega as alterações nos dados para manter os dados móveis e o uso da bateria baixos.”
Os pesquisadores nomearam o Hornbill em homenagem ao Indian Grey Hornbill, que é a ave do estado de Chandigarh na Índia, onde eles acreditam que os desenvolvedores do Hornbill estão localizados. O nome do SunBird, entretanto, originou-se de serviços maliciosos dentro do malware chamado “SunService” – e o sunbird também é nativo da Índia, disseram eles.
APT patrocinado pelo estado por trás do ataque cibernético
As famílias de malware foram vinculadas “com alta confiança” ao APT Confucius. Este APT está na cena do crime cibernético desde 2013 como um ator pró-Índia patrocinado pelo estado. A APT já tinha como alvo vítimas no Paquistão e no Sul da Ásia.
“Estamos confiantes de que o SunBird e o Hornbill são duas ferramentas usadas pelo mesmo ator, talvez para fins de vigilância diferentes”, disseram Kumar e Del Rosso
