SunBird-malware

Tidligere uopdagede Android spyware stammer er blevet fanget af forskerne på Lookout, et cybersikkerhedsfirma. Denne særlige trussel menes at have været en del af de truende operationer fra en APT-gruppe (Advanced Persistence Threat) kaldet Confucius. Dette hakkekollektiv har været aktiv siden mindst 2013 og menes at være statsstøttet. Confucius har vist nogle pro-indiske forbindelser. Blandt gruppens mål er hovedsageligt pakistanske statsborgere, herunder militært personel. Andre ofre inkluderer nukleare agenturer og indiske valgembedsmænd.

SunBird blev indsat i en række angreb, der fandt sted mellem 2006 og 2019, da truslen stadig var under aktiv udvikling. Nyere operationer forbundet med Confucius har i stedet implementeret Hornbill, en ny Android-spywaretrussel, der i visse områder overlapper med SunBirds funktionalitet. SunBird er dog den stærkeste af de to malware-værktøjer med et større sæt truende funktioner.

Den underliggende kode for SunBird ser ud til at have taget nogle signaler fra kodebasen for en ældre indisk spyware-trussel ved navn BuzzOut. Som en indledende overtrædelsesvektor brugte hackerne falske mobilapplikationer hostet på uofficielle platforme. For at lokke brugere til at downloade dem antog de truende applikationer identiteten af lokale nyhedsaggregatorer, sportsrelaterede applikationer, islamfokuserede applikationer og 'Google Security Framework'.

En gang inde i målets enhed fungerede SunBird både som en data-stjæler og en RAT (Remote Access Trojan). Truslen kan høste følsomme data fra WhatsApp såsom dokumenter, databaser og billeder og derefter exfiltrere dem til dens Command-and-Control-servere (C2, C&C) uden behov for rodadgang. Under sin datahøstningsrutine indsamler SunBird også enhedsidentifikatorer, kontaktlister, opkaldslister, GPS-placering, browserhistorik, BlackBerry messenger-indhold og kalenderoplysninger. SunBird vil forsøge at få administratorrettigheder, der gør det muligt for den at tage vilkårlige fotos og skærmbilleder samt optage lyd.

Angriberne kunne udnytte SunBirds RAT-kapacitet til at droppe yderligere malware-trusler på den allerede kompromitterede enhed.