【安全资讯】Confucius(魔罗桫)组织使用Android间谍软件监视印巴军事相关人员

近日，研究人员发现了两种新颖的Android间谍软件，分别是Hornbill和SunBird，并以高度可信地将这些间谍软件归因于Confucius（魔罗桫）APT威胁组织。Confucius于2013年首次出现，是由印度资助的高级威胁组织，主要针对巴基斯坦和其他南亚目标进行攻击活动。

Confucius最初以Windows平台恶意软件而闻名，自2017年才开始使用Android间谍软件ChatSpy进行恶意监视活动。然而，在对Hornbill和SunBird进行详细分析后，魔罗桫或在使用ChatSpy前就开始了其长达一年的监视活动。

本次针对的目标包括与巴基斯坦军事，核设施以及克什米尔印度选举官员有关的人员。Hornbill和SunBird具有复杂的功能，可以获取SMS，加密的消息应用程序内容和地理位置，以及其他类型的敏感信息。

SunBird被伪装成以下应用程序，这表明针对的群体似乎是穆斯林个人。：

-    安全服务，例如虚构的“ Google安全框架”
-    与特定位置（“克什米尔新闻”）或活动（“ Falconry Connect”和“ Mania Soccer”）相关的应用
-    伊斯兰教相关的申请（“古兰经》）。 

SunBird会收集以下类型的数据，并将其发送给攻击者。
-    已安装的应用程序列表
-    浏览器历史
-    日历信息
-    BlackBerry Messenger（BBM）音频文件，文档和图像
-    WhatsApp音频文件，文档，数据库，语音注释和图像
-    通过IMO即时消息收发应用程序发送和接收的内容

研究人员分析了从六个或更多公开的C2服务器中获得了18 GB以上的泄露数据。泄露的数据显示，攻击者的目标包括巴基斯坦原子能委员会的潜在候选人，与巴基斯坦空军（PAF）有密切联系的个人以及监督克什米尔Pulwama区选举进程的选举官员。