Lookout warnt vor neuer Android-Spyware

Stefan Beiersmann,
Security Android (Bild: ZDNet mit Material von Shutterstock/Mikko-Lemola und Google)

Eine mutmaßlich indische Hackergruppe setzt die Spionageprogramme Hornbill und SunBird ein. Die aktuelle Kampagne richtet sich gegen pakistanische Staatsbürger. Beide Spyware-Varianten sind in erster Linie hinter WhatsApp-Kommunikation her.

Der Cybersicherheitsanbieter Lookout hat zwei neue Spionageprogramme für Googles Mobilbetriebssystem Android entdeckt. Die Spyware-Apps mit den Namen Hornbill und SunBird sind in der Lage, die Aktivitäten von Personen zu verfolgen und deren Daten zu stehlen. Eingesetzt werden sie derzeit offenbar von Hackern, die der indischen Regierung nahestehen sollen.

Security Android (Bild: ZDNet mit Material von Shutterstock/Mikko-Lemola und Google)Die Forscher von Lookout ordnen Hornbill und SunBird der Confucius-Gruppe zu. Sie ist mindestens seit 2013 aktiv und soll staatliche Unterstützung erhalten. Unter anderem wird sie mit Angriffe auf Regierungsbehörden in Südostasien in Verbindung gebracht. Die aktuelle Kampagne richtet sich demnach gegen pakistanische Staatsangehörige.

Technisch basieret Hornbill auf einer Stalkerware-App namens MobileSpy. Sie erlaubt es, Android-Geräte aus der Ferne zu überwachen. Die App wurde allerdings 2018 vom Markt genommen. SunBird soll indes eine Weiterentwicklung der ursprünglich in Indien entwickelten Spyware BuzzOut sein. Beide Schädlinge sind den Forschern zufolge auf das Ausspähen von WhatsApp-Nachrichten ausgerichtet.

Zu diesem Zweck missbrauchen sie die Android-Bedienungshilfen, wie Apurva Kumar, Staff Security Intelligence Engineer bei Lookout, im Gespräch mit ZDNet USA erklärte. Das soll es ihnen erlauben, auch ohne Root-Zugriff Inhalte von WhatsApp auszuspähen.

Verteilt werden beide Spyware-Varianten über mobile Apps, die außerhalb des Google Play Store angeboten werden. Sie geben sich als Update für das Google Security Framework oder auch als Nachrichten- oder Religions-Apps aus. Die meisten dieser gefälschten Apps seien für Menschen islamischen Glaubens optimiert, so Lookout weiter.

SunBird soll mehr Funktionen bieten als Hornbill, das Lookout als “dezentes Überwachungs-Tool” beschreibt. Während Hornbill zielgerichtet bestimmte Daten stehle, erlaube SunBird eine vollständig Kontrolle eines infizierten Geräts sowie das Einschleusen weiterer Schadsoftware. SunBird greife auch auf den Browserverlauf, Standortdaten, den Kalender und den Blackberry Messenger sowie und nehme auch Screenshots und Fotos beziehungsweise höre Telefonate ab. Außerdem soll SunBird bereits seit 2016 im Einsatz sein – Hornbill seit Dezember 2020.