SunBird Malware
Een eerder onontdekte Android-spywarestam is betrapt door de onderzoekers van Lookout, een cyberbeveiligingsbedrijf. Aangenomen wordt dat deze specifieke dreiging deel uitmaakte van de dreigende operaties van een APT-groep (Advanced Persistence Threat) genaamd Confucius. Dit hackercollectief is actief sinds minstens 2013 en wordt verondersteld door de staat te worden gesponsord. Confucius heeft enkele pro-Indiase connecties getoond. Onder de doelwitten van de groep bevinden zich voornamelijk Pakistaanse staatsburgers, waaronder militairen. Andere slachtoffers zijn onder meer nucleaire agentschappen en Indiase verkiezingsfunctionarissen.
SunBird werd ingezet in een reeks aanvallen die plaatsvonden tussen 2006 en 2019, toen de dreiging nog in actieve ontwikkeling was. Meer recente operaties in verband met Confucius hebben in plaats daarvan Hornbill geïmplementeerd, een nieuwe Android-spywarebedreiging die op bepaalde gebieden overlapt met de functionaliteit van SunBird. SunBird is echter de krachtigste van de twee malwaretools met een grotere reeks bedreigende functies.
De onderliggende code van SunBird lijkt enkele aanwijzingen te hebben ontleend aan de codebase van een oudere Indiase spywarebedreiging genaamd BuzzOut. Als een eerste inbreukvector gebruikten de hackers valse mobiele applicaties die op niet-officiële platforms werden gehost. Om gebruikers ertoe te verleiden ze te downloaden, namen de bedreigende applicaties de identiteit aan van lokale nieuwsaggregators, sportgerelateerde applicaties, op de islam gerichte applicaties en 'Google Security Framework'.
Eenmaal binnen het apparaat van het doelwit, fungeerde SunBird zowel als een data-stealer als een RAT (Remote Access Trojan). De dreiging kan gevoelige gegevens van WhatsApp verzamelen, zoals documenten, databases en afbeeldingen, en deze vervolgens exfiltreren naar de Command-and-Control-servers (C2, C&C) zonder dat root-toegang nodig is. Tijdens het verzamelen van gegevens verzamelt SunBird ook apparaat-ID's, lijsten met contactpersonen, oproeplogboeken, GPS-locatie, browsergeschiedenis, BlackBerry Messenger-inhoud en kalenderinformatie. SunBird zal proberen beheerdersrechten te krijgen waarmee het willekeurige foto's en schermafbeeldingen kan maken, en ook audio kan opnemen.
De aanvallers zouden de RAT-mogelijkheden van SunBird kunnen gebruiken om extra malwarebedreigingen op het reeds gecompromitteerde apparaat te plaatsen.
