Hornbill Malware
Een voortdurende dreigende aanvalscampagne tegen Android-gebruikers in Pakistan is ontdekt door de infosec-experts van het cyberbeveiligingsbedrijf Lookout. Volgens hun onderzoek zet de huidige operatie een Android-spywarebedreiging genaamd Hornbill in op gecompromitteerde apparaten. De dreiging wordt geleverd als onderdeel van mobiele applicaties die worden gehost op platforms van derden, buiten de officiële Google Play Store. De bedreigende applicaties zijn vermomd als softwarepakketten die de identiteit kunnen aannemen van 'Google Security Framework', verschillende sportgerelateerde applicaties, lokale nieuwsaggregators en op islam gerichte applicaties. De overgrote meerderheid van de nep-applicaties lijkt te zijn ontworpen om specifiek op moslimgebruikers te zijn gericht.
Analyse van neushoornvogel onthulde dat de dreiging hoogstwaarschijnlijk de MobileSpy-applicatie is, die in 2018 met pensioen ging als een blauwdruk. MobileSpy was beschikbaar voor aankoop en werd geadverteerd als een tool voor het op afstand monitoren van Android-apparaten. Hornbill Malware is echter gestroomlijnd, waarbij de aanvallers hun aandacht richten op geselecteerde gegevens van het gecompromitteerde apparaat in plaats van te proberen zoveel mogelijk informatie te verzamelen. Hornbill is inderdaad ontworpen om zich voornamelijk op WhatsApp te richten en om toegang te krijgen tot gevoelige gespreksgegevens. Afgezien van WhatsApp, is de dreiging ook in staat om de identificatiegegevens van het apparaat, oproeplogboeken, GPS-locatie en contactlijsten te verzamelen. Hornbill Malware zal proberen beheerdersrechten te verkrijgen en, als dit lukt, kan het beginnen met het maken van willekeurige schermafbeeldingen van het scherm, foto's en audio-opnamen van het apparaat, zowel tijdens actieve oproepen als als passief luisterhulpmiddel. Door misbruik te maken van de toegankelijkheidsfuncties van Android, is Hornbill in staat om actieve WhatsApp-gesprekken te detecteren en op te nemen.
Hornbill Malware is gekoppeld aan de Pro-Indiase APT Group Confucius
Aangenomen wordt dat de APT-groep (Advanced Persistent Threat) Confucius verantwoordelijk is voor de huidige campagne voor het leveren van Hornbill-malware. De hackers werden voor het eerst ontdekt in 2013 en zijn sindsdien actief. Hoewel er geen concrete verbanden zijn, is Confucius APT meer dan waarschijnlijk een door de staat gesponsord hackerscollectief met pro-Indiase banden. Tot dusver zijn ze in verband gebracht met aanvallen op Pakistaanse militairen, nucleaire agentschappen en Indiase verkiezingsfunctionarissen.
Onder het dreigende arsenaal van de groep bevinden zich drie verschillende malwarebedreigingen voor mobiele monitoring. De eerste die werd gedetecteerd was ChatSpy, dat in 2017 werd gebruikt als een bewakingsinstrument. Vervolgens ontdekten infosec-onderzoekers de sporen van een Android-spyware genaamd SunBird. Hoewel het op een later punt werd ontdekt, wordt aangenomen dat SunBird ouder is dan ChatSpy. Hornbill Malware is de nieuwste aan Confucius gerelateerde malware die in actieve campagnes wordt waargenomen.
