Accueil / IT Business / Communiqués / Lookout Dévoile un Spyware Android sponsorisé par l’Inde Lié au Conflit Indo Pakistanais

Lookout Dévoile un Spyware Android sponsorisé par l’Inde Lié au Conflit Indo Pakistanais

Paris, le 16 février 2021 Lookout, Inc., le leader de la sécurité mobile, annonce la découverte de deux nouveaux malwares de surveillance, Hornbill and SunBird. L’équipe Lookout Threat Intelligence pense que ces deux malwares sont liés à l’APT Confucius, une groupe de menaces persitantes avancées (APT) bien connu pro indien et sponsorisé par l’Inde. Hornbill et SunBird possèdent des capacités avancées pour exfiltrer le contenu de messages SMS, le contenu d’applications de messagerie chiffrée, la géolocalisation, le carnet d’adresses, les logs d’appel, ainsi que la liste des fichiers et des répertoires. Ils ciblent des personnes liées aux autorités militaires et nucléaires du Pakistan, ainsi que des responsables des élections indiennes au Cachemire.

Le groupe Confucius a été précédemment identifié pour avoir exploité un malware mobile en 2017 avec ChatSpy[1]. Toutefois, sur la base des recherches de Lookout, ces nouveaux malwares de surveillance identifiés étaient tous deux actifs avant ChatSpy. A ce jour, Hornbill est toujours utilisé activement et les analystes de Lookout en ont encore observé des échantillons en décembre 2020. Des campagnes SunBird ont été identifiées pour la première fois par les analystes de Lookout en 2017, mais le malware ne semble plus être actif aujourd’hui.

“Une des principales caractéristiques de Hornbill et SunBird est leur intense activité d’exfiltration des communications de leur cible via WhatsApp,a déclaré Apurva Kumar, Staff Security Intelligence Engineer chez Lookout. “Dans les deux cas, le malware de surveillance a abusé les services d’accessibilité d’Android de diverses façons afin d’exfiltrer des communications sans avoir besoin d’un accès ‘root’. SunBird peut aussi enregistrer des appels réalisés via le service de voix sur IP de WhatsApp, exfiltrer des données sur des applications telles que BlackBerry Messenger et imo, et exécuter des commandes envoyées par un attaquant sur un terminal infecté.”

Hornbill comme SunBird paraissent être des versions évoluées d’outils de surveillance Android disponibles sur le marché. Hornbill est probablement dérivé du même code de base qu’un produit de surveillance en vente libre plus ancien connu sous le nom de MobileSpy. Parallèlement, SunBird peut être lié aux développeurs indiens responsables de BuzzOut, un vieil outil de surveillance commercialisé. La théorie selon laquelle les racines de SunBird se retrouvent aussi dans cette application légale d’espionnage est confirmée par les contenus trouvés dans les données exfiltrées que les analystes de Lookout ont découvert sur l’infrastructure de SunBird en 2018. Les données découvertes comprennent des informations sur les victimes de l’application d’espionnage, et des campagnes ciblant des citoyens pakistanais dans leur propre pays, ainsi que d’autres voyageant à l’étranger dans les Emirats Arabes Unis et en Inde.

Les terminaux mobiles sont une mine de données privées, ce qui fait d’eux une cible de prédilection pour les cyber criminels via des méthodes d’ingénierie sociale. Lookout protège à la fois les consommateurs et les employés en entreprise contre ce type de menaces. Les clients des Lookout Threat Advisory Services ont déjà été notifiés et informés en profondeur sur les menaces que représentent Hornbill et SunBird.

Pour en savoir plus sur Hornbill et SunBird, lire le blog Lookout ou visiter Lookout Threat Advisory Services.

Pour en savoir plus, rendez-vous sur le site www.lookout.com et suivez Lookout sur son blog, LinkedIn, et Twitter.
[1]
https://www.trendmicro.com/en_us/research/18/b/deciphering-confucius-cyberespionage-operations.html

 

A voir

SEPTEO annonce la création de son pôle Expertises Digitales

SEPTEO annonce la création de son pôle Expertises Digitales, qui regroupe les sociétés Appliwave, Novatim et RG System...