Malware Hornbill

Una minacciosa campagna di attacchi in corso contro gli utenti Android che si trovano in Pakistan è stata scoperta dagli esperti di infosec della società di sicurezza informatica Lookout. Secondo la loro ricerca, l'operazione corrente sta distribuendo una minaccia spyware Android chiamata Hornbill sui dispositivi compromessi. La minaccia viene fornita come parte di applicazioni mobili ospitate su piattaforme di terze parti, al di fuori del Google Play Store ufficiale. Le applicazioni minacciose sono camuffate da pacchetti software che possono assumere l'identità di "Google Security Framework", varie applicazioni legate allo sport, aggregatori di notizie locali e applicazioni incentrate sull'Islam. La stragrande maggioranza delle applicazioni false sembra essere progettata specificamente per gli utenti musulmani.

 L'analisi di Hornbill ha rivelato che la minaccia è molto probabilmente utilizzata dall'applicazione MobileSpy, che è stata ritirata nel 2018 come progetto. MobileSpy era disponibile per l'acquisto ed era pubblicizzato come strumento per il monitoraggio remoto dei dispositivi Android. Hornbill, tuttavia, è stato semplificato con gli aggressori che concentrano la loro attenzione su dati selezionati dal dispositivo compromesso invece di tentare di acquisire quante più informazioni possibili. Infatti, Hornbill è stato progettato per indirizzare principalmente WhatsApp e per accedere ai dati sensibili delle conversazioni. Oltre a WhatsApp, la minaccia è anche in grado di raccogliere le identificazioni del dispositivo, i registri delle chiamate, la posizione GPS e gli elenchi di contatti. Hornbill tenterà di ottenere i privilegi di amministratore e, in caso di successo, potrà iniziare a catturare schermate arbitrarie dello schermo del dispositivo, delle foto e delle registrazioni audio sia durante le chiamate attive che come strumento di ascolto passivo. Abusando delle funzionalità di accessibilità di Android, Hornbill è in grado di rilevare e registrare le conversazioni WhatsApp attive.

 Hornbill è collegato al gruppo pro-indiano APT Confucius

 Si ritiene che il gruppo APT (Advanced Persistent Threat) Confucius sia responsabile dell'attuale campagna che fornisce Hornbill Malware. Gli hacker sono stati rilevati per la prima volta nel 2013 e da allora sono attivi. Sebbene non ci siano collegamenti concreti, Confucius APT è più che probabile un collettivo di hacker sponsorizzato dallo stato con legami filo-indiani. Finora sono stati collegati ad attacchi contro militari pakistani, agenzie nucleari e funzionari elettorali indiani.

 Tra l'arsenale minaccioso del gruppo ci sono tre distinte minacce malware per il monitoraggio mobile. Il primo ad essere rilevato è stato ChatSpy utilizzato come strumento di sorveglianza nel 2017. Successivamente, i ricercatori di infosec hanno individuato le tracce di uno spyware Android chiamato SunBird. Sebbene sia stato scoperto in un secondo momento, si ritiene che SunBird sia più vecchio di ChatSpy. Hornbill è l'ultimo malware associato a Confucio osservato nelle campagne attive.