研究人员发现针对巴基斯坦官员的安卓间谍活动

两个新的安卓监控软件家族被发现以巴基斯坦和克什米尔的军事、核和选举实体为目标，作为亲印度、国家支持的黑客活动的一部分。

该恶意软件被称为犀鸟和太阳鸟，它模仿合法或看似无害的服务来掩盖自己的行踪，只是偷偷地收集短信、加密消息应用程序内容和地理位置等类型的敏感信息。

Lookout发布的这一发现是对18GB已过滤数据的分析结果，这些数据是从位于印度的至少六台配置不安全的指挥与控制（C2）服务器公开披露的。

研究人员在周三的一份分析报告中说：“一些值得注意的目标包括一名申请巴基斯坦原子能委员会职位的个人、在巴基斯坦空军（PAF）有过多次接触的个人，以及负责克什米尔普瓦马区选民名册的官员（摊位级官员）。”。

在过去几年里，这些袭击共有156名受害者，他们的电话号码来自印度、巴基斯坦和哈萨克斯坦。

Lookout将这两个工具归因于一个名为“孔子”的高级持续威胁组织（APT），该组织至少自2013年以来就以袭击南亚国家而闻名。这家网络安全公司称犀鸟为“被动侦察工具”

虽然犀鸟似乎与之前活跃的商业监控产品MobileSpy来自同一个代码库，但SunBird被追踪到了另一个名为BuzzOut的移动跟踪软件背后的一群印度开发者。了望台发现的线索还表明，Hornbill的运营商曾在印度城市昌迪加尔或其附近注册和运营的多家安卓和iOS应用开发公司合作。

这两款间谍软件都配备了大量数据，如通话记录、联系人、系统信息、位置、存储在外部驱动器上的照片、录制音频和视频、捕获屏幕截图，特别侧重于通过滥用Android的可访问性API掠夺WhatsApp消息和语音笔记。

SunBird与Hornbill的另一个不同之处在于前者具有远程访问特洛伊木马（RAT）功能，允许攻击者在目标设备上执行任意命令。此外，它还能够过滤浏览器历史记录、日历信息，甚至从BlackBerry Messenger和IMO即时通讯应用程序中提取内容。

研究人员详细介绍说：“在第三方应用商店中发现了太阳鸟的样本，这表明了一种可能的分销机制。”。“考虑到这些恶意软件样本中有许多是特洛伊木马程序–；因为它们包含完整的用户功能—；社交工程也可能在说服目标安装恶意软件方面发挥作用。”

Lookout在2020年12月发现了犀鸟样本，表明自2018年发现该恶意软件以来，犀鸟一直在积极使用该软件。另一方面，Sunbird似乎在2018年和2019年得到了积极部署，而去年，该威胁参与者转向了另一款基于Android的间谍软件产品ChatSpy。

有趣的是，犀鸟和太阳鸟共享的C2基础设施揭示了与孔子集团开展的其他跟踪武器行动的进一步联系—；包括2018年巴基斯坦政府关于针对官员和政府人员的桌面恶意软件活动的公开咨询警告—；这意味着这两个工具被同一个参与者用于不同的监视目的。

尽管印度在间谍软件和监视领域相对来说是一个新进入者，但公民实验室的研究人员去年6月揭露了一个名为BellTroX InfoTech的雇佣兵黑客组织，该组织总部位于德里，旨在窃取记者、倡导团体、投资公司和一系列其他知名目标的证件。