Threat Database Malware Hornbill Malware

Hornbill Malware

Eine Infektionskampagne gegen Android-Nutzer in Pakistan wurde von den Infosec-Experten des Cybersicherheitsunternehmens Lookout aufgedeckt. Laut ihrer Forschung setzt der aktuelle Betrieb eine Android-Spyware-Bedrohung namens Hornbill auf kompromittierten Geräten ein. Die Bedrohung wird als Teil mobiler Anwendungen bereitgestellt, die auf Plattformen von Drittanbietern außerhalb des offiziellen Google Play Store gehostet werden. Die bedrohlichen Anwendungen werden als Softwarepakete getarnt, die die Identität von "Google Security Framework", verschiedenen sportbezogenen Anwendungen, lokalen Nachrichtenaggregatoren und islamorientierten Anwendungen annehmen können. Die überwiegende Mehrheit der gefälschten Anwendungen scheint speziell auf muslimische Benutzer ausgerichtet zu sein.

 Die Analyse von Hornbill ergab, dass die Bedrohung höchstwahrscheinlich auf der MobileSpy-Anwendung beruht, die 2018 als Blaupause eingestellt wurde. MobileSpy war käuflich zu erwerben und wurde als Tool zur Fernüberwachung von Android-Geräten beworben. Hornbill wurde jedoch optimiert, da die Angreifer ihre Aufmerksamkeit auf ausgewählte Daten des kompromittierten Geräts richteten, anstatt zu versuchen, so viele Informationen wie möglich abzurufen. In der Tat wurde Hornbill entwickelt, um hauptsächlich auf WhatsApp abzuzielen und auf vertrauliche Konversationsdaten zuzugreifen. Abgesehen von WhatsApp kann die Bedrohung auch die Identifikationen, Anrufprotokolle, den GPS-Standort und die Kontaktlisten des Geräts erfassen. Hornbill versucht, Administratorrechte zu erhalten, und kann bei Erfolg beliebige Screenshots des Bildschirms, der Fotos und Audioaufnahmen des Geräts sowohl während aktiver Anrufe als auch als passives Abhörwerkzeug erstellen. Durch den Missbrauch der Android-Eingabehilfen kann Hornbill aktive WhatsApp-Konversationen erkennen und aufzeichnen.

 Hornbill ist mit der pro-indischen APT Group Confucius verbunden

 Es wird angenommen, dass die APT-Gruppe (Advanced Persistent Threat) Confucius für die aktuelle Kampagne zur Bereitstellung von Hornbill Malware verantwortlich ist. Die Hacker wurden erstmals 2013 entdeckt und sind seitdem aktiv. Obwohl es keine konkreten Verbindungen gibt, ist Confucius APT höchstwahrscheinlich ein staatlich gefördertes Hacker-Kollektiv mit pro-indischen Beziehungen. Bisher waren sie mit Angriffen gegen pakistanische Militärs, Nuklearagenturen und indische Wahlbeamte verbunden.

 Unter dem bedrohlichen Arsenal der Gruppe befinden sich drei verschiedene Bedrohungen für die mobile Überwachung von Malware. Das erste, das entdeckt wurde, war ChatSpy, das bereits 2017 als Überwachungstool verwendet wurde. Als nächstes haben Infosec-Forscher die Spuren einer Android-Spyware namens SunBird entdeckt. Obwohl es zu einem späteren Zeitpunkt entdeckt wurde, wird angenommen, dass SunBird älter als ChatSpy ist. Hornbill ist die neueste mit Confucius assoziierte Malware, die in aktiven Kampagnen beobachtet wird.

Im Trend

Am häufigsten gesehen

Wird geladen...