Logiciel malveillant Hornbill

Une campagne d'attaque menaçante en cours contre les utilisateurs d'Android situés au Pakistan a été découverte par les experts infosec de la société de cybersécurité Lookout. Selon leurs recherches, l'opération actuelle déploie une menace de logiciel espion Android nommée Hornbill sur des appareils compromis. La menace est diffusée dans le cadre d'applications mobiles hébergées sur des plates-formes tierces, en dehors du Google Play Store officiel. Les applications menaçantes sont déguisées en progiciels qui peuvent prendre l'identité de «Google Security Framework», diverses applications liées au sport, des agrégateurs de nouvelles locales et des applications axées sur l'islam. La grande majorité des fausses applications semblent être conçues pour cibler spécifiquement les utilisateurs musulmans.

 L'analyse de Hornbill a révélé que la menace est très probablement utilisée par l'application MobileSpy, qui a été retirée en 2018 en tant que modèle. MobileSpy était disponible à l'achat et a été annoncé comme un outil de surveillance à distance des appareils Android. Hornbill, cependant, a été rationalisé, les attaquants concentrant leur attention sur certaines données de l'appareil compromis au lieu d'essayer de récupérer autant d'informations que possible. En effet, Hornbill a été conçu pour cibler principalement WhatsApp et accéder aux données de conversation sensibles. Outre WhatsApp, la menace est également capable de collecter les identifiants de l'appareil, les journaux d'appels, la localisation GPS et les listes de contacts. Hornbill essaiera d'obtenir le privilège d'administrateur et, s'il réussit, il pourra commencer à prendre des captures d'écran arbitraires de l'écran de l'appareil, des photos et des enregistrements audio à la fois pendant les appels actifs et en tant qu'outil d'écoute passive. En abusant des fonctionnalités d'accessibilité d'Android, Hornbill est capable de détecter et d'enregistrer des conversations WhatsApp actives.

 Hornbill est lié au groupe pro-indien APT Confucius

 On pense que le groupe APT (Advanced Persistent Threat) Confucius est responsable de la campagne actuelle livrant Hornbill Malware. Les pirates ont été détectés pour la première fois en 2013 et sont actifs depuis lors. Bien qu'il n'y ait pas de liens concrets, Confucius APT est plus que probablement un collectif de hackers parrainé par l'État avec des liens pro-indiens. Jusqu'à présent, ils ont été liés à des attaques contre des militaires pakistanais, des agences nucléaires et des responsables électoraux indiens.

 Parmi l'arsenal menaçant du groupe figurent trois menaces distinctes de logiciels malveillants de surveillance mobile. Le premier à être détecté était ChatSpy utilisé comme outil de surveillance en 2017. Ensuite, les chercheurs d'Infosec ont attrapé les traces d'un logiciel espion Android appelé SunBird. Bien qu'il ait été découvert plus tard, on pense que SunBird est plus ancien que ChatSpy. Hornbill est le dernier malware associé à Confucius à être observé dans les campagnes actives.