Το BadBazaar, ένα εργαλείο κατασκοπευτικού λογισμικού για Android που δεν είχε προηγουμένως εντοπιστεί, ανακαλύφθηκε ότι στοχεύει εθνοτικές και θρησκευτικές μειονότητες στην Κίνα – κυρίως τους Ουιγούρους στο Xinjiang.
Οι Ουιγούροι, οι οποίοι είναι μουσουλμάνοι και αριθμούν περίπου 13 εκατομμύρια, έχουν υποστεί μεγάλη καταπίεση από την κινεζική κυβέρνηση επειδή δεν ασπάζονται τις παραδοσιακές ανατολικές κινεζικές αξίες.
Η MalwareHunterTeam ανακάλυψε το νέο spyware και βρήκε μια σύνδεση με την ομάδα Bahamut στις ανιχνεύσεις του VirusTotal.
Σύμφωνα με την εμπεριστατωμένη ανάλυση της Lookout, το malware είναι νέο spyware που χρησιμοποιεί την ίδια υποδομή που παρατηρήθηκε στις εκστρατείες του 2020 κατά των Ουιγούρων από την υποστηριζόμενη από το κράτος ομάδα hacking APT15 (γνωστή και ως “Pitty Tiger”).
Η Lookout ανακάλυψε επίσης μια δεύτερη εκστρατεία που χρησιμοποιούσε νέες παραλλαγές του “Moonshine”, ενός spyware που βρέθηκε από την CitizenLab το 2019, ενώ αναπτύχθηκε εναντίον ομάδων του Θιβέτ.
Δείτε επίσης: Scam: Εκβιαστές στοχεύουν ιδιοκτήτες sites και απειλούν με διαρροή δεδομένων
Λεπτομέρειες του BadBazaar
Από το 2018, το spyware BadBazaar έχει χρησιμοποιήσει 111 διαφορετικές εφαρμογές για να μολύνει τους Ουιγούρους προωθώντας τις μέσω καναλιών επικοινωνίας που συνήθως χρησιμοποιεί αυτή η εθνοτική ομάδα.
Οι εφαρμογές που υποδύθηκαν καλύπτουν ένα ευρύ φάσμα κατηγοριών, από λεξικά έως συνοδούς θρησκευτικής πρακτικής και από βελτιστοποιητές μπαταρίας έως συσκευές αναπαραγωγής βίντεο.
Η Lookout δεν έχει ακόμη ανακαλύψει αυτές τις εφαρμογές στο Google Play, το επίσημο κατάστημα εφαρμογών του Android, οπότε είναι πολύ πιθανό να διαδίδονται μέσω καταστημάτων τρίτων ή κακόβουλων ιστότοπων.
Δείτε επίσης: Ουκρανία: Ρώσοι hackers χρησιμοποιούν το Somnia ransomware
Είναι ενδιαφέρον ότι υπάρχει μια μεμονωμένη περίπτωση εφαρμογής iOS στο Apple App Store που επικοινωνεί με το κακόβουλο C2, ωστόσο δεν διαθέτει λειτουργία spyware, αλλά στέλνει μόνο UDID της συσκευής.
Το BadBazaar έχει τη δυνατότητα να συλλέγει δεδομένα, τα οποία περιλαμβάνουν όλα τα παρακάτω:
- Ακριβής τοποθεσία
- Λίστα με εγκατεστημένες εφαρμογές
- Αρχεία καταγραφής κλήσεων που περιέχουν δεδομένα γεωγραφικού εντοπισμού
- Κατάλογος με τις επαφές
- Μηνύματα SMS
- Λεπτομέρειες όλων των συσκευών
- Πληροφορίες του WiFi
- Εγγραφές τηλεφωνικών κλήσεων
- Εξαγωγή αρχείων ή βάσεων δεδομένων
- Πρόσβαση σε φακέλους υψηλού ενδιαφέροντος (εικόνες, αρχεία καταγραφής εφαρμογών συνομιλίας, ιστορικό συνομιλιών, κ.λπ.)
Αφού οι αναλυτές εξέτασαν προσεκτικά την υποδομή C2, η οποία αποκάλυψε τους πίνακες διαχείρισης και τις συντεταγμένες GPS των συσκευών δοκιμής λόγω σφαλμάτων, ανακάλυψαν συνδέσεις με την Xi’an Tian He Defense Technology.
Νέες εκδόσεις Moonshine
Οι ερευνητές της Lookout ανακάλυψαν τον Ιούλιο του 2022 μια εκστρατεία που χρησιμοποίησε 50 εφαρμογές για να μολύνει τα θύματα με το spyware “Moonshine”.
Οι εφαρμογές αυτές προωθήθηκαν σε Ουιγουρόφωνα κανάλια Telegram, όπου αδίστακτοι χρήστες τα προτείνουν ως αξιόπιστο λογισμικό σε άλλα μέλη.
Η νεότερη έκδοση του κακόβουλου λογισμικού είναι modular και οι δημιουργοί της έχουν προσθέσει περισσότερα modules για να επεκτείνουν τις δυνατότητες επιτήρησης του εργαλείου.
Moonshine Κλέβει εμπιστευτικά δεδομένα από συσκευές, όπως δραστηριότητα δικτύου, διεύθυνση IP, πληροφορίες hardware και άλλα.
Το κακόβουλο λογισμικό υποστηρίζει τις ακόλουθες εντολές C2:
- Καταγραφή κλήσεων
- Συλλογή επαφών
- Ανάκτηση αρχείων από μια θέση που καθορίζεται από το C2
- Συλλογή δεδομένων τοποθεσίας της συσκευής
- Εξαγωγή μηνυμάτων SMS
- Λήψη κάμερας
- Καταγραφή μικροφώνου
- Συλλογή δεδομένων WeChat
Η Lookout έχει στοιχεία που υποδηλώνουν ότι οι δημιουργοί της νέας έκδοσης Moonshine είναι Κινέζοι, καθώς τα σχόλια του κώδικα και η τεκμηρίωση του API στην πλευρά του server είναι γραμμένα σε απλά κινέζικα.
Δείτε επίσης: Η εταιρεία Sobeys χτυπήθηκε από το Black Basta ransomware
Αυτή η έκθεση δείχνει ότι η παρακολούθηση των κινεζικών μειονοτήτων συνεχίζεται αμείωτη παρά την κατακραυγή από διεθνείς οργανισμούς προστασίας των ανθρωπίνων δικαιωμάτων.
Πηγή πληροφοριών: bleepingcomputer.com
