Dois malwares desenvolvidos com foco em espionagem nuclear, militar e eleitoral, foram descobertos coletando conversas de WhatsApp, de representantes do exército e do governo no Paquistão e na Caxemira, território no norte da Índia, que sofre com disputas territoriais há décadas.
- Cibercriminosos comprometem emulador NoxPlayer, para espionar cinco vítimas específicas
- Chineses podem ter explorado falha no mesmo software do ataque à cadeia de suprimentos da SolarWinds
- “Um dos ataque mais sofisticados da década”, revela FireEye sobre ataque à SolarWinds
Os malwares, batizados de Hornbill e SunBird, foram identificados pela Lookout, empresa norte-americana de segurança da informação, camuflados em diversos aplicativos - aparentemente ingênuos - disponíveis em lojas de apps para Android, APK Pure, APK Combo e APK Support.
De acordo com as pesquisadoras, há indícios de que os malwares tenham sido desenvolvidos por cibercriminosos a favor do governo e exército indiano, especificamente para comprometer conversas por WhatsApp de autoridades do Paquistão e da Caxemira.
“Acreditamos com grande confiança que essas ferramentas de vigilância são usadas pelo grupo de Ameaça Persistente Avançada (APT), Confúcio, que apareceu pela primeira vez em 2013 como um ator pró-Índia patrocinado pelo Estado, perseguindo principalmente o Paquistão e outros alvos do sul da Ásia”, escrevem as pesquisadoras da Lookout.
As pesquisadoras explicam que o principal alvo do Hornbill e do SunBird são militares do Paquistão, autoridades nucleares e autoridades eleitorais na Caxemira. Os malwares coletam, principalmente, registros de conversa com imagens, arquivos e áudios; contatos e metadados (número de telefone, IMEI, ID do Android, modelo, fabricante e versão do sistema operacional). Ambos os malwares são capazes de filmar as telas dos smartphones das vítimas, além de acessar as câmeras (tanto frontal como trazeira), além de extrair registros de conversas completos.
Malwares tradicionais
A Lookout batizou o primeiro malware de Hornbill, em homenagem a uma ave comum em Chandigar, estado indiano onde as pesquisadoras acreditam que tenha sido desenvolvido. Já o SunBird, também indiano, tem esse nome por ser baseado em um malware tradicional, o SunService.
O malware qual o Hornbill é baseado foi encontrado pela primeira vez em janeiro de 2018. Já o antessessor do SunBird, em janeiro de 2017. “Estamos confiantes que o SunBird e o Hornbill são duas ferramentas usadas pelo mesmo ator, talvez para fins de vigilância diferentes”, escrevem.
“O Hornbill e o SunBird têm semelhanças e diferenças na maneira como operam em um dispositivo infectado [...] Embora o SunBird tenha a funcionalidade de trojan de acesso remoto (RAT), o Hornbill é uma ferramenta de vigilância discreta usada para extrair um conjunto selecionado de dados de interesse para seu operador”, diz Apurva Kumar, engenheira de inteligência de segurança e Kristin Del Rosso, pesquisadora de inteligência de segurança da Lookout.
De acordo com as pesquisadoras, não há como identificar quantas pessoas foram infectadas no total. Mas, só em 2019, pelo menos 156 possoas foram infectadas com o SunBird. No entanto, embora tenha sido desenvolvido com foco no Paquistão e na Caxemira, usuários de “pelo menos 14 países diferentes” também foram infectados.
Fonte: Lookout.