Отчёт команды Antiy AVL Threat Intelligence Team описывает деятельность APT-группы Confucius (APT59), которая активна с 2013 года. Главными целями атак группы являются госучреждения, военные и ядерные объекты в Пакистане и других странах Южной Азии.
По данным AVL, Confucius использует вредоносные программы для Android SunBird и Hornbill для кражи данных с устройств. Отмечается, что активность приложений отслеживается с мая 2023 года.
Поддельное приложение
Приложения распространяются в виде обновлений Google и запрашивают различные разрешения на устройстве жертвы. После авторизации приложения просит получение разрешений диспетчера устройств. После успешного применения разрешения образец скрывает значок. После получения разрешений с устройства похищаются фотографии, сообщения, контакты, чаты из WhatsApp, данные о пользователе терминала и информация о подключенных мобильных устройствах. Кроме того, приложение реализует автозапуск в смартфонах от Xiaomi, Oppo, vivo, letv и Honor.
В атаках используются серверы с IP-адресами, принадлежащими США. Атаки в основном сосредоточены на Кашмире и других регионах Индии. Было обнаружено более 50 жертв, включая госслужащих в Кашмире, военных, а также сотрудники индийской компании по продаже косметики Baccarose.