Logiciel malveillant SunBird

Les chercheurs de Lookout, une entreprise de cybersécurité, ont attrapé une souche de logiciel espion Android jusqu'alors inconnue. On pense que cette menace particulière faisait partie des opérations menaçantes d'un groupe APT (Advanced Persistence Threat) appelé Confucius. Ce collectif de hackers est actif depuis au moins 2013 et serait parrainé par l'État. Confucius a affiché des relations pro-indiennes. Parmi les cibles du groupe figurent principalement des ressortissants pakistanais, y compris du personnel militaire. Les autres victimes comprennent les agences nucléaires et les responsables électoraux indiens.

SunBird a été déployé dans une série d'attaques qui ont eu lieu entre 2006 et 2019 alors que la menace était encore en développement actif. Des opérations plus récentes associées à Confucius ont plutôt déployé Hornbill, une nouvelle menace de logiciel espion Android qui chevauche dans certains domaines les fonctionnalités de SunBird. SunBird, cependant, est le plus puissant des deux outils malveillants avec un plus grand ensemble de fonctionnalités menaçantes.

Le code sous-jacent de SunBird semble avoir pris quelques repères de la base de code d'une ancienne menace de logiciel espion indienne nommée BuzzOut. En tant que vecteur de violation initial, les pirates ont utilisé de fausses applications mobiles hébergées sur des plates-formes non officielles. Pour inciter les utilisateurs à les télécharger, les applications menaçantes ont pris l'identité d'agrégateurs de nouvelles locaux, d'applications liées au sport, d'applications axées sur l'islam et de «Google Security Framework».

Une fois à l'intérieur de l'appareil de la cible, SunBird a agi à la fois comme un voleur de données et un RAT (cheval de Troie d'accès à distance). La menace pourrait récolter des données sensibles de WhatsApp telles que des documents, des bases de données et des images, puis les exfiltrer vers ses serveurs de commande et de contrôle (C2, C&C) sans avoir besoin d'un accès root. Au cours de sa routine de collecte de données, SunBird collecte également les identifiants des appareils, les listes de contacts, les journaux d'appels, la position GPS, l'historique du navigateur, le contenu de BlackBerry Messenger et les informations de calendrier. SunBird essaiera d'obtenir des privilèges d'administrateur qui lui permettront de prendre des photos et des captures d'écran arbitraires, ainsi que d'enregistrer de l'audio.

Les attaquants pourraient tirer parti des capacités RAT de SunBird pour déposer des menaces de logiciels malveillants supplémentaires sur l'appareil déjà compromis.