Các chủng phần mềm độc hại có tên là Hornbill và Sunbird đã được chuyển thành các ứng dụng Android giả (APKs) bởi nhóm tin tặc Confucius, một nhóm thân Ấn chuyên do thám Pakistan và các nước Nam Á, kể từ năm 2013.
Trong quá khứ, Confucius đã tạo ra phần mềm độc hại cho Windows. Sau đó, vào năm 2017, nhóm đã mở rộng quy mô trên cả di động khi ứng dụng Chatspy ra đời.
Các ứng dụng được nhóm sử dụng lấy thông tin, dữ liệu bằng truy cập vào bộ sưu tập để lấy ảnh, yêu cầu các quyền nâng cao, xóa tin nhắn WhatsApp và tải tất cả thông tin lấy được lên máy chủ của nhóm APT.
Ứng dụng giả tấn công quân đội Pakistan và cơ sở hạt nhân
Một báo cáo từ công ty an ninh mạng Lookout có trụ sở tại California, Mỹ đã tiết lộ các ứng dụng Android giả mạo chứa đầy phần mềm độc hại được các phần tử thân Ấn sử dụng để do thám các cơ quan quân sự và hạt nhân của Pakistan cũng như các quan chức bầu cử của bang Kashmir.
Các ứng dụng Android giả bao gồm “Google Security Framework”, “Kashmir News”, “Falconry Connect”, “Mania Soccer” và “Quran Majeed”.
Theo các nhà nghiên cứu Apurva Kumar và Kristin Del Rosso của Lookout, các ứng dụng liên kết với SunBird có nhiều khả năng mở rộng hơn Hornbill. Ở các thiết bị bị nhiễm, dữ liệu được thu thập trong cơ sở dữ liệu SQLite, sau đó được nén thành các tệp ZIP khi chúng được tải lên máy chủ C2.
Các loại dữ liệu sau đây được SunBird thu thập và gửi đến tin tặc:
- Danh sách các ứng dụng đã cài đặt
- Lịch sử trình duyệt
- Thông tin lịch
- Các tệp âm thanh, tài liệu và hình ảnh của BlackBerry Messenger (BBM)
- Tệp âm thanh WhatsApp, tài liệu, cơ sở dữ liệu, ghi chú bằng giọng nói và hình ảnh
- Nội dung được gửi và nhận qua ứng dụng nhắn tin IMO
Các ứng dụng do SunBird cung cấp cũng có thể thực hiện các tác vụ sau:
- Tải xuống nội dung được chỉ định của kẻ tấn công từ chia sẻ FTP
- Chạy các lệnh tùy ý dưới dạng root, nếu có thể
- Xóa tin nhắn và liên hệ BBM thông qua các dịch vụ trợ năng
- Loại bỏ thông báo BBM thông qua các dịch vụ trợ năng
Các nhà nghiên cứu phân tích hơn 18 GB dữ liệu đã lọc lấy từ 6 hoặc nhiều máy chủ C2. Dữ liệu bị rò rỉ này tiết lộ nhiều mục tiêu của các tổ chức nhà nước bao gồm các ứng cử viên tiềm năng cho Ủy ban Năng lượng Nguyên tử Pakistan, các cá nhân có liên hệ chặt chẽ với Lực lượng Không quân Pakistan (PAF) và các nhân viên bầu cử giám sát quá trình bầu cử trong quận Pulwama, bang Kashmir, Ấn Độ.
Báo cáo của Lookout cho biết, các ứng dụng chứa chủng Hornbill về bản chất thụ động hơn và được sử dụng làm công cụ trinh sát, tiêu tốn ít tài nguyên và pin. Tuy nhiên, các nhà nghiên cứu giải thích rằng những tin tặc tạo ra Hornbill quan tâm hơn đến việc giám sát hoạt động WhatsApp của người dùng.
Nhóm Lookout Threat Intelligence tự tin phán đoán kẻ đứng sau SunBird và Hornbill đều là một, và sử dụng chúng cho các mục đích khác nhau. Các nhà nghiên cứu nhấn mạnh, không có ứng dụng nào trong số này có trên Google Play hoặc bất kỳ cửa hàng ứng dụng được ủy quyền nào.
Các quan chức khuyến cáo người dùng chỉ tải các ứng dụng từ Google Play và tránh các trang web rủi ro cung cấp các ứng dụng Android và iOS lậu.