India y Pakistán, dos países asiáticos con armas nucleares, llevan más de 70 años enfrentados por la región de Cachemira. Desde el proceso de descolonización británica en la década del 40 las tensiones entre ambos no cesan y, como era de esperar, se expanden al ciberespacio.

En los últimos años en India se ha producido un incremento preocupante en actividades relacionadas con tecnologías spyware (programas espías) y los servicios de vigilancia online. Algunos ejemplos de este fenómeno, denunciados en 2020 por Blackberry, CitizenLab y Amnistía Internacional, fueron protagonizados por BellTroxson Infotech Security, una empresa proveedora de servicios de ciberseguridad que operaba como un grupo mercenario brindando a sus clientes servicios de espionaje, por CostaRicto, especializada en la ejecución de ciberoperaciones contra blancos en India; y por NSO Group, la empresa israelí, desarrolladora del software utilizado para monitorear las actividades de los activistas de derechos humanos en India.

Encontramos dos aplicaciones fraudulentas, dirigidas a entidades militares, nucleares y electorales de Pakistán

lookout threat intelligence team

Recientemente, la empresa Lookout, especializada en seguridad en la nube para dispositivos móviles, descubrió la existencia de dos aplicaciones del tipo spyware (programa espía) que afectan a los sistemas Android. Según su investigación, las mismas podrían estar controladas por el Grupo APT (Advanced Persistent Attack) Confucius, sospechado de estar patrocinado por el gobierno de India.

Este grupo habría atacado 156 blancos con números telefónicos procedentes de India, Paquistán y Kazajistán en los últimos años. Entre los objetivos paquistaníes, Lookout menciona un candidato a ingresar a la Comisión de Energía Atómica, otros cuyos contactos incluían a personal de la Fuerza Aérea y funcionarios vinculados al proceso eleccionario en un distrito de Cachemira.

Las apps Hornbill y Sunbird… ¿una evolución de versiones comerciales de las herramientas para vigilancia desarrolladas para Android?.

Según los investigadores, las dos aplicaciones analizadas tienen bastantes elementos en común con aplicaciones de vigilancia que se comecializan en la red sin mayores restricciones.


En relación a Hornbill, los hallazgos indicarían que

  • habría sido desarrollado a partir del código de un producto comercial para vigilancia conocido como Mobilespy. Este último fue desarrollado por la empresa norteamericana Retina-X Studios, cuya cartera de productos incluía aplicaciones de monitoreo de computadoras (Sniperspy) y teléfonos celulares (Mobilespy; Phonesheriff) para controlar las actividades online de menores y empleados. Lookout afirma por un lado, no poder precisar como el APT Confucius pudo obtener el código de esas aplicaciones ya que la empresa norteamericana cerró su actividad comercial en 2018 luego de ser víctima de una campaña muy agresiva.
  • Del análisis del tráfico de redes sociales entre sus desarrolladores, surge que todos ellos habrían trabajado en alguna oportunidad para empresas que desarrollan aplicaciones para sistemas Android y iOS, localizadas en proximidad a Chandigarh, en la provincia de Panyab, India.
  • Uno de los desarrolladores publicó en 2017 en Linkedin que estaba trabajando para la Agencia de Investigación y Desarrollo para la Defensa (DRDO) de India.

En cuanto a Sunburn, los hallazgos indican:

  • podría haber sido creado por los mismos desarrolladores de India de BuzzOut, otro software espía comercial, en base a los datos extraídos
  • La información levantada por la aplicación incluye datos de ciudadanos pakistaníes que vivían en ese país y viajaron a Emiratos Árabes e India
  • Lookout cree que la aplicación fue vendida a un actor determinado que la desplegó de manera selectiva para obtener información de blancos específicos. Este supuesto se basa en una investigación de 2018 sobre otros dos software espías patrocinados, en este caso, por el gobierno de Pakistán. Se trataría de Stealth Mango y Tangelo.

¿Quién es el APT Confucius?

El Grupo Confucius es considerado por los especialistas en Inteligencia de Amenazas como un Grupo de Ciberagresores con patrocinio estatal, en este caso del gobierno de India. Sus actividades se remontan al año 2013 y aunque mayoritariamente afectaban pc de escritorio, a partir de 2016 habrían comenzado su actividad con dispositivos móviles.

En 2018, Trend Micro informó que Confucius estaba utilizando sitios falsos para encontrar pareja, y de ese modo engañar a los usuarios para que instalaran aplicaciones Android maliciosas. Estaba dirigido especialmente a víctimas en Pakistán.

Imagen del Sitio falso con un enlace para descargar la aplicación FUDDI DUNIYA. El texto en urdu: “Mujeres reales, jóvenes, amas de casa – Descarga la app para acceder a miles de mujeres en línea.”
 Figure 3. Screenshot of the second fake website
Captura de Pantalla de otro sitio web falso.

¿Cómo funcionaban las aplicaciones?

Ambas aplicaciones comparten algunas características en cuanto a su funcionalidad en un dispositivo afectado. Tanto Hornbill como Sunburn pueden exfiltrar una amplia variedad de datos, como historial de llamadas, metadata del dispositivo (número telefónico, IMEI/ ID Android, modelo y fabricante, así como la versión de Android), geolocalización, imágenes almacenadas en un dispositivo externo, notas de voz de WhatsApp, etc. también coinciden en la modalidad de operación: acceden a los privilegios de administrador del dispositivo, toman capturas de pantalla en tiempo real, acceso a la cámara, grabación de sonido ambiente y llamadas de audio y acceden a los mensajes y contactos de Whatsapp.

Sin embargo, más allá de estas similitudes las dos aplicaciones investigadas tienen diferencias notorias:

HORNBILL se asemeja a una herramienta pasiva sofisticada de reconocimiento. Su interés principal pareciera centrarse en el estado del dispositivo infectado y el monitoreo de sus recursos. Por ejemplo, activa su carga útil para mantener bajo el consumo de batería, activa la limpieza del dispositivo si la capacidad de memoria es baja; también puede verificar si la pantalla está bloqueada, conocer la capacidad de almacenamiento interno y externo y cuando se permiten las funciones de WIFI y GPS. Sólo recopila información de geolocalización si detecta cambios lo suficientemente significativos entre una y otra posición. Presenta una especial atención al servicio de mensajería de WhatsApp del dispositivo infectado. Además de exfiltrar el contenido de los mensajes y la información del emisor, graba las conversaciones por Whatsapp. Esto lo logra mediante los servicios de accesibilidad que brinda el propio sistema Android, no requiriendo el acceso a privilegios en un dispositivo determinado. Hornbill busca y monitorea la actividad de cualquier documento (“.doc”, “.txt”, “.ppt”, “.pdf”, “.docx”, “.xlsx”) almacenado de forma interna o externa.

SUNBIRD posee un conjunto de capacidades más maliciosas que Hornbill. Su finalidad es subir toda la información a la que accede, a sus servidores de comando y control (C2). En el dispositivo afectado, los datos se almacenan en bases de datos SQLite que luego son comprimidos a formatos “.zip” a medida que son enviados al servidor C2. Puede además exfiltrar el listado de las aplicaciones instaladas, el historial de navegación, información del Calendario, imágenes, archivos de audio y documentos del servicio de mensajería de Blackberry, el contenido enviado y recibido mediante la aplicación de mensajería instantánea IMO y los archivos, documentos, bases de datos, notas de voz e imágenes de WhatsApp. Y como si esto resultara poco, también logra descargar contenido del atacante y ejecutar comandos arbitrarios.

Para facilitar su instalación adquiere una apariencia similar a aplicaciones comunes como las que brindan servicios de seguridad como “Google Security Framework”, las que se concentran en puntos geográficos específicos como “Kashmir News” (Noticias de Cachemira) o actividades recreativas como “Falconry Connect” o “Mania Soccer”, así como aplicaciones relacionadas con el mundo ilámico como “Quran Majeed”

Fuentes