SunBird Malware

I ricercatori di Lookout, una società di sicurezza informatica, hanno scoperto un ceppo di spyware Android precedentemente sconosciuto. Si ritiene che questa particolare minaccia abbia fatto parte delle minacciose operazioni di un gruppo APT (Advanced Persistence Threat) chiamato Confucius. Questo collettivo di hacker è attivo almeno dal 2013 e si ritiene che sia sponsorizzato dallo stato. Confucius ha mostrato alcune connessioni filo-indiane. Tra gli obiettivi del gruppo vi sono principalmente cittadini pakistani, compreso il personale militare. Altre vittime includono agenzie nucleari e funzionari elettorali indiani.

SunBird è stato schierato in una serie di attacchi avvenuti tra il 2006 e il 2019, quando la minaccia era ancora in fase di sviluppo attivo. Le operazioni più recenti associate a Confucius hanno invece implementato Hornbill, una nuova minaccia spyware Android che si sovrappone in determinate aree alle funzionalità di SunBird. SunBird, tuttavia, è il più potente dei due strumenti malware con un set più ampio di funzionalità minacciose.

Il codice sottostante di SunBird sembra aver preso alcuni spunti dal codebase di una vecchia minaccia spyware indiana chiamata BuzzOut. Come vettore di violazione iniziale, gli hacker hanno utilizzato applicazioni mobili false ospitate su piattaforme non ufficiali. Per indurre gli utenti a scaricarli, le applicazioni minacciose hanno assunto l'identità di aggregatori di notizie locali, applicazioni relative allo sport, applicazioni incentrate sull'Islam e "Google Security Framework".

Una volta all'interno del dispositivo di destinazione, SunBird ha agito sia come ladro di dati che come RAT (Remote Access Trojan). La minaccia potrebbe raccogliere dati sensibili da WhatsApp come documenti, database e immagini e quindi esfiltrarli ai suoi server Command-and-Control (C2, C&C) senza la necessità di accesso root. Durante la sua routine di raccolta dei dati, SunBird raccoglie anche identificatori del dispositivo, elenchi di contatti, registri delle chiamate, posizione GPS, cronologia del browser, contenuto di BlackBerry Messenger e informazioni sul calendario. SunBird proverà a ottenere i privilegi di amministratore che gli consentiranno di scattare foto e screenshot arbitrari, nonché di registrare l'audio.

Gli aggressori potrebbero sfruttare le capacità RAT di SunBird per rilasciare ulteriori minacce malware sul dispositivo già compromesso.