Hornbill Malware
Uma campanha ameaçadora de ataque contínuo contra usuários do Android localizados no Paquistão foi descoberta pelos especialistas em infosec da empresa de segurança cibernética Lookout. De acordo com a pesquisa, a operação atual está implantando uma ameaça de spyware do Android chamada Hornbill em dispositivos comprometidos. A ameaça é entregue como parte de aplicativos móveis hospedados em plataformas de terceiros, fora da Google Play Store oficial. Os aplicativos ameaçadores são disfarçados como pacotes de software que podem assumir a identidade de 'Google Security Framework', vários aplicativos relacionados a esportes, agregadores de notícias locais e aplicativos focados no Islã. A grande maioria dos aplicativos falsos parece ter sido projetada para atingir especificamente os usuários muçulmanos.
A análise do Hornbill revelou que a ameaça provavelmente é o uso do aplicativo MobileSpy, que foi retirado em 2018 como um projeto. O MobileSpy estava disponível para compra e foi anunciado como uma ferramenta para monitoramento remoto de dispositivos Android. O Hornbill, no entanto, foi simplificado com os invasores concentrando sua atenção em dados selecionados do dispositivo comprometido, em vez de tentar obter o máximo de informações possível. Na verdade, o Hornbill foi projetado principalmente para atingir o WhatsApp e acessar dados confidenciais de conversas. Além do WhatsApp, a ameaça também é capaz de coletar identificações do dispositivo, registros de chamadas, localização GPS e listas de contatos. O Hornbill tentará obter privilégios de administrador e, se for bem-sucedido, poderá começar a fazer capturas de tela arbitrárias da tela do dispositivo, fotos e gravações de áudio durante as chamadas ativas e como uma ferramenta de escuta passiva. Ao abusar dos recursos de acessibilidade do Android, o Hornbill é capaz de detectar e gravar conversas ativas do WhatsApp.
Hornbill está Vinculado ao Grupo APT Pró-Indiano Confucius
Acredita-se que o grupo Confucius APT (Advanced Persistent Threat) seja responsável pela campanha atual de entrega do malware Hornbill. Os hackers foram detectados pela primeira vez em 2013 e estão ativos desde então. Embora não haja links concretos, o Confucius APT é mais do que provável um coletivo de hackers patrocinado pelo estado com laços pró-Índia. Até agora, eles foram conectados a ataques contra militares, agências nucleares e autoridades eleitorais do Paquistão.
Entre o arsenal de ameaças do grupo estão três ameaças de malware de monitoramento móvel distintas. O primeiro a ser detectado foi o ChatSpy usado como ferramenta de vigilância em 2017. Em seguida, os pesquisadores da infosec detectaram os rastros de um spyware do Android chamado SunBird. Embora tenha sido descoberto posteriormente, acredita-se que o SunBird seja mais antigo que o ChatSpy. Hornbill é o malware associado ao Confucius mais recente a ser observado em campanhas ativas.