Analytiker på mobilsäkerhetsföretaget Lookout har identifierat två nya övervakningsverktyg för Android-appar som kan kopplas till Confucius, en hackargrupp i Indien med band till den indiska staten.
De två nya verktygen – Hornbill och SunBird – kan bland annat läsa SMS och innehåll som skickas med krypterade meddelandeappar, samt avslöja enhetens position.
Hornbill och SunBird är två nyupptäckta övervakningsverktyg som kopplas till den välkända gruppen Confucius. Redan 2017 misstänktes gruppen för delaktighet i spridningen av programmet ChatSpy, men nu visar det sig att det nyupptäckta SunBird kan ha funnits ännu tidigare. Hornbill verkar vara det senast skapade programmet och man har hittat versioner släppta så sent som i december 2020.
Hornbill och SunBird verkar främst ha personer med ursprung i Pakistan som måltavla. Bland dessa finns militärer och personer med anknytning till PAEC, den organisation som hanterar Pakistans kärntekniska program. Även indiska valarbetare i Kashmir har utsatts. Spridning har skett vid nedladdning av appar från inofficiella appbutiker och genom personligt adresserad e-post till individer i verksamheten.
De infekterade apparna har maskerats som seriösa säkerhetsprogram eller appar med innehåll som har lokal eller religiös anknytning. Apparna har efter installation fungerat på ett sätt som användaren förväntar sig, men vid nedladdningen har samtidigt skadlig kod som kan orsaka läckage av data distribuerats. Bland de typer av information som verktygen har möjlighet att samla finns innehåll i SMS och chattar, enhetens position, samtalsloggar samt namn på filer i enhetens minne.
Båda de nyupptäckta verktygen utmärker sig genom sin förmåga att kunna fånga information från meddelandeappar som WhatsApp, trots att informationen är krypterad när den skickas. Övervakningsapparna utnyttjar funktioner i Android avsedda att ge ökad tillgänglighet för synskadade till att läsa av information när den visas på skärmen. SunBird kan också köra kommandon på infekterande enheter och lyssna av röstsamtal i WhatsApp.
Mobila enheter innehåller ofta en stor mängd privat data, vilket gör dem till en populär måltavla för cyberkriminellas angrepp. Lookout försöker skydda konsumenter och företag från dessa hot och de som använder Lookouts Threat Advisory Services har varnats för de nyupptäckta hoten Hornbill och SunBird.