Hindistanlı Hackerlar, Hindistan-Pakistan anlaşmazlık sırasında devlet destekli hackerlar tarafından kullanılan iki Android casus yazılım türünün ayrıntıları ortaya çıktı.
Hornbill ve SunBird adlı kötü amaçlı yazılım türleri , en az 2013’ten beri Pakistan ve Güney Asya hedeflerini gözetlediği bilinen Hindistan yanlısı devlet destekli bir operasyon olan Confucius gelişmiş kalıcı tehdit grubu (APT) tarafından sahte Android uygulamaları (APK’ler) olarak teslim edildi. .
Confucius, geçmişte Windows kötü amaçlı yazılımları oluşturmuş olsa da, ChatSpy casusluk uygulaması ortaya çıktığında 2017’den bu yana grup yeteneklerini mobil kötü amaçlı yazılımlara genişletti.
Grup tarafından kullanılan uygulamalar, kameradan fotoğraf çekme, yükseltilmiş ayrıcalıklar isteme, WhatsApp mesajlarını alma ve tüm bu bilgileri APT grubunun sunucularına yükleme gibi gelişmiş yetenekler içerir.
Sahte uygulamalar aracılığıyla Pakistan’ın askeri ve nükleer tesislerini hackliyor
California merkezli siber güvenlik firması Lookout’tan gelen bir rapor, Hindistan yanlısı aktörler tarafından Keşmir’in seçim yetkililerine ek olarak Pakistan’ın askeri ve nükleer yetkilileri hakkında casusluk yapmak için kullanılan kötü amaçlı yazılımlarla yüklü sahte Android uygulamalarını ortaya çıkardı.
Hindistanlı Hackerlar tarafından yayınlanan sahte Android uygulamaları, bu casusluk operasyonunun bir parçası olarak “Google Güvenlik Çerçevesi” ve “Kashmir News”, “Falconry Connect”, “Mania Soccer” ve “Quran Majeed” gibi bölgesel önemi olan uygulamaları içerir.
Lookout araştırmacıları Apurva Kumar ve Kristin Del Rosso’ya göre, SunBird ile ilişkili uygulamaların Hornbill’den daha kapsamlı bir yetenekleri var ve veri hırsızlığı sıralarını düzenli aralıklarla çalıştırmaya devam ediyorlar.
Araştırmacılar, “Etkilenen cihazda yerel olarak, veriler daha sonra C2 altyapısına yüklenirken ZIP dosyalarına sıkıştırılan SQLite veritabanlarında toplanıyor” diyor.
Aşağıdaki türden veriler SunBird tarafından toplanır ve tehdit aktörlerine gönderilir.
- Yüklü uygulamaların listesi
- Tarayıcı geçmişi
- Takvim bilgileri
- BlackBerry Messenger (BBM) ses dosyaları, belgeler ve resimler
- WhatsApp Ses dosyaları, belgeler, veritabanları, sesli notlar ve görüntüler
- IMO anlık mesajlaşma uygulaması aracılığıyla gönderilen ve alınan içerik
SunBird tarafından desteklenen uygulamalar aşağıdaki eylemleri de gerçekleştirebilir:
- FTP paylaşımlarından saldırgan tarafından belirlenen içeriği indirin
- Mümkünse, rastgele komutları kök olarak çalıştırın
- Erişilebilirlik hizmetleri aracılığıyla BBM mesajlarını ve kişilerini kazıyın
- Erişilebilirlik hizmetleri aracılığıyla BBM bildirimlerini kazıyın
Araştırmacılar, altı veya daha fazla halka açık C2 sunucusundan elde edilen 18 GB’ın üzerinde dışarı sızmış veriyi analiz etti.
Araştırmacılar, bu uygulamaların hiçbirinin Google Play veya herhangi bir yetkili uygulama mağazası aracılığıyla dağıtılmadığını vurguluyor.
Mobil kullanıcıların uygulamaları yalnızca resmi uygulama mağazalarından indirmeleri ve kaçak Android APK’ları ve iOS APP’leri sunan riskli web sitelerinden kaçınmaları öneriliyor.
[ilgiliMakale icerik_id=”8506″]
