Malware SunBird

Los investigadores de Lookout, una empresa de ciberseguridad, han detectado una cepa de software espía de Android no descubierta anteriormente. Se cree que esta amenaza en particular fue parte de las operaciones amenazantes de un grupo APT (Advanced Persistence Threat) llamado Confucius. Este colectivo de hackers ha estado activo desde al menos 2013 y se cree que está patrocinado por el estado. Confucius ha mostrado algunas conexiones pro-indias. Entre los objetivos del grupo se encuentran principalmente ciudadanos pakistaníes, incluido personal militar. Otras víctimas incluyen agencias nucleares y funcionarios electorales indios.

SunBird se implementó en una serie de ataques que tuvieron lugar entre 2006 y 2019 cuando la amenaza aún estaba en desarrollo activo. Las operaciones más recientes asociadas con Confucius han estado implementando Hornbill, una nueva amenaza de software espía para Android que se superpone en ciertas áreas con la funcionalidad de SunBird. SunBird, sin embargo, es la más poderosa de las dos herramientas de malware con un conjunto más amplio de características amenazantes.

El código subyacente de SunBird parece haber tomado algunas señales de la base de código de una amenaza de software espía india más antigua llamada BuzzOut. Como vector de infracción inicial, los piratas informáticos utilizaron aplicaciones móviles falsas alojadas en plataformas no oficiales. Para atraer a los usuarios a descargarlos, las aplicaciones amenazantes asumieron la identidad de agregadores de noticias locales, aplicaciones relacionadas con el deporte, aplicaciones centradas en el Islam y "Google Security Framework".

Una vez dentro del dispositivo del objetivo, SunBird actuó como un ladrón de datos y un RAT (troyano de acceso remoto). La amenaza podría recopilar datos confidenciales de WhatsApp, como documentos, bases de datos e imágenes, y luego exfiltrarlos a sus servidores de comando y control (C2, C&C) sin necesidad de acceso de root. Durante su rutina de recolección de datos, SunBird también recopila identificadores de dispositivos, listas de contactos, registros de llamadas, ubicación GPS, historial del navegador, contenido de mensajería BlackBerry e información de calendario. SunBird intentará obtener privilegios de administrador que le permitirán tomar fotografías y capturas de pantalla arbitrarias, así como grabar audio.

Los atacantes podrían aprovechar las capacidades RAT de SunBird para lanzar amenazas de malware adicionales en el dispositivo ya comprometido.