Sunbird und Hornbill: Neue Android-Spyware der Confucius-APT

Sicherheitsforscher entdecken zwei Schadprogramme, die sie einer pro-indischen APT-Gruppe zuordnen. Beide sollen auf kommerzieller Spyware basieren.

Artikel veröffentlicht am , Anna Biselli
Der Hornvogel ist Namenspate einer Android-Malware.
Der Hornvogel ist Namenspate einer Android-Malware. (Bild: Trikansh sharma/CC0 1.0)

Das IT-Sicherheitsunternehmen Lookout hat zwei neue Überwachungswerkzeuge für Android-Geräte entdeckt. Laut den Sicherheitsforschern können diese mit hoher Wahrscheinlichkeit der APT-Gruppe "Confucius" zugeordnet werden.

Stellenmarkt
  1. IT-Systemelektroniker/-in / Systeminformatiker/-in / Kommunikationselektroniker/-- in für ... (m/w/d)
    Universitätsklinikum Tübingen, Tübingen
  2. IT System Engineer (gn)
    HORNBACH Baumarkt AG, Bornheim bei Landau in der Pfalz
Detailsuche

Lookout nennt die beiden Schadprogramme "Sunbird" und "Hornbill". Beide können dazu genutzt werden, etwa Anruflisten abzugreifen, heimlich Audioaufnahmen und Screenshots anzufertigen oder den Standort des betroffenen Geräts zu ermitteln. Um Whatsapp-Konversationen mitzuschneiden, sollen sie auf Androids Accessibility-Services zurückgreifen, die eigentlich Nutzern mit Einschränkungen helfen sollen. Laut Lookout komme es immer häufiger vor, dass diese Funktionalitäten von Android-Späh-Software genutzt werden, da Angreifer so keine besonderen Zugriffsrechte auf den Geräten erlangen müssten, um Daten abzugreifen.

Während Sunbird den Angreifern erlaubt, Daten auf das infizierte Gerät nachzuladen, beschreibt Lookout Hornbill als eher passives Aufklärungstool. "Wir sind uns recht sicher, dass Sunbird und Hornbill zwei Tools sind, die vom selben Akteur verwendet werden, möglicherweise für unterschiedliche Überwachungszwecke", schreibt Lookout. Die Sicherheitsforscher berichten, dass sie betroffene Personen entdeckt haben, die Kontakte zur pakistanischen Luftwaffe haben oder die für Wahlen in Kaschmir zuständig waren.

Sowohl Sunbird als auch Hornbill sollen laut Lookout auf kommerzieller Spyware basieren. Der Code von Hornbill basiere auf Mobilespy, das auch als Stalkerware genutzt wurde.

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Die Confucius-Gruppe richtete ihre Angriffe in der Vergangenheit vor allem gegen Ziele innerhalb Pakistans und Südasiens und fiel mit pro-indischen Schadsoftware-Kampagnen auf. Sie soll seit 2013 aktiv sein und nutzte unter anderem Chat-Programme, um die Systeme ihrer Ziele zu infizieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

  3. China: Illegale Kryptominer zapfen Strom von Staatsfirmen an
    China
    Illegale Kryptominer zapfen Strom von Staatsfirmen an

    Im Kampf gegen Kryptomining haben chinesische Behörden entdeckt, dass auch in staatlichen Unternehmen und Behörden Strom abgezapft wurde.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
    •  /