Hornbill Malware

En løbende truende angrebskampagne mod Android-brugere i Pakistan er blevet afdækket af infosec-eksperterne hos cybersikkerhedsfirmaet Lookout. Ifølge deres forskning implementerer den nuværende operation en Android-spywaretrussel ved navn Hornbill til kompromitterede enheder. Truslen leveres som en del af mobilapplikationer hostet på tredjepartsplatforme uden for den officielle Google Play Butik. De truende applikationer er forklædte som softwarepakker, der kan antage identiteten af 'Google Security Framework', forskellige sportsrelaterede applikationer, lokale nyhedsaggregatorer og Islam-fokuserede applikationer. Langt størstedelen af de falske applikationer ser ud til at være designet til specifikt at målrette mod muslimske brugere.

 Analyse af Hornbill afslørede, at truslen sandsynligvis anvendes MobileSpy-applikationen, som blev trukket tilbage i 2018 som en plan. MobileSpy var tilgængelig for køb og blev annonceret som et værktøj til fjernovervågning af Android-enheder. Hornbill er dog blevet strømlinet med angriberne, der fokuserer deres opmærksomhed på udvalgte data fra den kompromitterede enhed i stedet for at forsøge at få fat i så meget info som muligt. Faktisk er Hornbill designet til hovedsageligt at målrette WhatsApp og få adgang til følsomme samtaledata. Bortset fra WhatsApp er truslen også i stand til at høste enhedens identifikationer, opkaldslister, GPS-placering og kontaktlister. Hornbill vil forsøge at få administratorrettigheder, og hvis det lykkes, kan det begynde at tage vilkårlige skærmbilleder af enhedens skærm, fotos og lydoptagelser både under aktive opkald og som et passivt lytteværktøj. Ved at misbruge Android-tilgængelighedsfunktionerne er Hornbill i stand til at opdage og optage aktive WhatsApp-samtaler.

 Hornbill er knyttet til den pro-indiske APT Group Confucius

 Det menes, at APT-gruppen (Advanced Persistent Threat) Confucius er ansvarlig for den aktuelle kampagne, der leverer Hornbill Malware. Hackerne blev først opdaget tilbage i 2013 og har været aktive siden da. Selvom der ikke er nogen konkrete forbindelser, er Confucius APT mere end sandsynligt et statsstøttet hakkekollektiv med pro-indiske bånd. Indtil videre har de været forbundet med angreb mod pakistanske militærindivider, nukleare agenturer og indiske valgembedsmænd.

 Blandt det truende arsenal af gruppen er tre forskellige mobilovervågning malware-trusler. Den første, der blev opdaget, var ChatSpy, der blev brugt som et overvågningsværktøj tilbage i 2017. Derefter fangede infosec-forskere sporene af en Android-spyware kaldet SunBird. Selvom det blev opdaget på et senere tidspunkt, menes det, at SunBird er ældre end ChatSpy. Hornbill er den seneste Confucius-associerede malware, der kan observeres i aktive kampagner.