Tin tặc thân Ấn sử dụng các ứng dụng Android giả để do thám quân đội Pakistan

Các chủng ứng dụng ô nhiễm có tên là Hornbill và Sunbird đã được chuyển thành những ứng dụng Android giả ( APKs ) bởi nhóm tin tặc Confucius, một nhóm thân Ấn chuyên trinh thám Pakistan và những nước Nam Á, kể từ năm 2013 .
Trong quá khứ, Confucius đã tạo ra ứng dụng ô nhiễm cho Windows. Sau đó, vào năm 2017, nhóm đã lan rộng ra quy mô trên cả di động khi ứng dụng Chatspy sinh ra .
Các ứng dụng được nhóm sử dụng lấy thông tin, tài liệu bằng truy vấn vào bộ sưu tập để lấy ảnh, nhu yếu những quyền nâng cao, xóa tin nhắn WhatsApp và tải toàn bộ thông tin lấy được lên sever của nhóm APT .

Bạn đang xem: Tin tặc thân Ấn sử dụng các ứng dụng Android giả để do thám quân đội Pakistan

Ứng dụng giả tấn công quân đội Pakistan và cơ sở hạt nhân

Một báo cáo giải trình từ công ty bảo mật an ninh mạng Lookout có trụ sở tại California, Mỹ đã bật mý những ứng dụng Android trá hình chứa đầy ứng dụng ô nhiễm được những thành phần thân Ấn sử dụng để trinh thám những cơ quan quân sự và hạt nhân của Pakistan cũng như những quan chức bầu cử của bang Kashmir. Các ứng dụng Android giả gồm có “ Google Security Framework ”, “ Kashmir News ”, “ Falconry Connect ”, “ Mania Soccer ” và “ Quran Majeed ” .
Theo những nhà nghiên cứu Apurva Kumar và Kristin Del Rosso của Lookout, những ứng dụng link với SunBird có nhiều năng lực lan rộng ra hơn Hornbill. Ở những thiết bị bị nhiễm, tài liệu được tích lũy trong cơ sở tài liệu SQLite, sau đó được nén thành những tệp ZIP khi chúng được tải lên sever C2 .

Các loại dữ liệu sau đây được SunBird thu thập và gửi đến tin tặc:

  • Danh sách các ứng dụng đã cài đặt
  • Lịch sử trình duyệt
  • Thông tin lịch
  • Các tệp âm thanh, tài liệu và hình ảnh của BlackBerry Messenger (BBM)
  • Tệp âm thanh WhatsApp, tài liệu, cơ sở dữ liệu, ghi chú bằng giọng nói và hình ảnh
  • Nội dung được gửi và nhận qua ứng dụng nhắn tin IMO

Các ứng dụng do SunBird cung ứng cũng hoàn toàn có thể triển khai những tác vụ sau :

  • Tải xuống nội dung được chỉ định của kẻ tấn công từ chia sẻ FTP
  • Chạy các lệnh tùy ý dưới dạng root, nếu có thể
  • Xóa tin nhắn và liên hệ BBM thông qua các dịch vụ trợ năng
  • Loại bỏ thông báo BBM thông qua các dịch vụ trợ năng

Các nhà nghiên cứu phân tích hơn 18 GB dữ liệu đã lọc lấy từ 6 hoặc nhiều máy chủ C2.

Các nhà nghiên cứu phân tích hơn 18 GB dữ liệu đã lọc lấy từ 6 hoặc nhiều máy chủ C2. Dữ liệu bị rò rỉ này tiết lộ nhiều mục tiêu của các tổ chức nhà nước bao gồm các ứng cử viên tiềm năng cho Ủy ban Năng lượng Nguyên tử Pakistan, các cá nhân có liên hệ chặt chẽ với Lực lượng Không quân Pakistan (PAF) và các nhân viên bầu cử giám sát quá trình bầu cử trong quận Pulwama, bang Kashmir, Ấn Độ.

Báo cáo của Lookout cho biết, những ứng dụng chứa chủng Hornbill về thực chất thụ động hơn và được sử dụng làm công cụ thám thính, tiêu tốn ít tài nguyên và pin. Tuy nhiên, những nhà nghiên cứu lý giải rằng những tin tặc tạo ra Hornbill chăm sóc hơn đến việc giám sát hoạt động giải trí WhatsApp của người dùng .
Nhóm Lookout Threat Intelligence tự tin phán đoán kẻ đứng sau SunBird và Hornbill đều là một, và sử dụng chúng cho những mục tiêu khác nhau. Các nhà nghiên cứu nhấn mạnh vấn đề, không có ứng dụng nào trong số này có trên Google Play hoặc bất kể shop ứng dụng được ủy quyền nào .
Các quan chức khuyến nghị người dùng chỉ tải những ứng dụng từ Google Play và tránh những website rủi ro đáng tiếc cung ứng những ứng dụng Android và iOS lậu .

5/5 - (1 vote)
Banner-backlink-danaseo

Bài viết liên quan

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments