Threat Database Malware Hornbill Malware

Hornbill Malware

Los expertos en seguridad informática de la empresa de ciberseguridad Lookout han descubierto una campaña de ataque amenazante en curso contra los usuarios de Android ubicados en Pakistán. Según su investigación, la operación actual está implementando una amenaza de software espía de Android llamada Hornbill en los dispositivos comprometidos. La amenaza se entrega como parte de aplicaciones móviles alojadas en plataformas de terceros, fuera de la tienda oficial de Google Play. Las aplicaciones amenazadoras se disfrazan como paquetes de software que pueden asumir la identidad de 'Google Security Framework', varias aplicaciones relacionadas con los deportes, agregadores de noticias locales y aplicaciones enfocadas en el Islam. La gran mayoría de las aplicaciones falsas parecen estar diseñadas para dirigirse específicamente a usuarios musulmanes.

 El análisis de Hornbill reveló que lo más probable es que la amenaza se use la aplicación MobileSpy, que se retiró en 2018 como modelo. MobileSpy estaba disponible para su compra y se promocionó como una herramienta para el monitoreo remoto de dispositivos Android. Hornbill, sin embargo, se ha simplificado y los atacantes centran su atención en datos seleccionados del dispositivo comprometido en lugar de intentar obtener tanta información como sea posible. De hecho, Hornbill ha sido diseñado para apuntar principalmente a WhatsApp y acceder a datos confidenciales de conversaciones. Además de WhatsApp, la amenaza también es capaz de recopilar las identificaciones del dispositivo, los registros de llamadas, la ubicación del GPS y las listas de contactos. Hornbill intentará obtener privilegios de administrador y, si tiene éxito, puede comenzar a tomar capturas de pantalla arbitrarias de la pantalla, fotos y grabaciones de audio del dispositivo, tanto durante las llamadas activas como como una herramienta de escucha pasiva. Al abusar de las funciones de accesibilidad de Android, Hornbill es capaz de detectar y grabar conversaciones activas de WhatsApp.

 Hornbill está vinculado al grupo APT pro-indio Confucio

 Se cree que el grupo Confucius de APT (Advanced Persistent Threat) es responsable de la campaña actual de distribución de Hornbill Malware. Los piratas informáticos fueron detectados por primera vez en 2013 y han estado activos desde entonces. Si bien no hay vínculos concretos, Confucius APT es más que probable un colectivo de hackers patrocinado por el estado con vínculos pro-indios. Hasta ahora se han relacionado con ataques contra militares paquistaníes, agencias nucleares y funcionarios electorales indios.

 Entre el arsenal de amenazas del grupo se encuentran tres amenazas distintas de malware de monitoreo móvil. El primero en ser detectado fue ChatSpy, que se usó como herramienta de vigilancia en 2017. Luego, los investigadores de infosec detectaron las huellas de un software espía de Android llamado SunBird. Aunque se descubrió en un momento posterior, se cree que SunBird es más antiguo que ChatSpy. Hornbill es el último malware asociado a Confucio que se observa en campañas activas.

Tendencias

Mas Visto

Cargando...