BadBazaar

До Mezo през Mobile Malware, Advanced Persistent Threat (APT), Spywareг

Превод на:

BadBazaar е неизвестна досега мобилна заплаха, която е предназначена да заразява конкретно устройства с Android. Заплахата е оборудвана предимно с възможности за шпионски софтуер и изглежда е насочена предимно към етнически или религиозни малцинства в Китай. Най-важните му цели са уйгурите, разположени в автономната територия Синцзян. Уйгурското малцинство е било подложено на изключително потисничество и потенциални нарушения на човешките права от китайското правителство, според международни доклади.

Заплахата BadBazaar беше открита за първи път от експерти по киберсигурност, но допълнителни подробности бяха предоставени в доклад от други изследователи. Според техните констатации операторите на BadBazaar са използвали същата инфраструктура, която е била част от кампаниите за атака срещу уйгурите, извършени от киберпрестъпната група APT15 (известна също като Ke3chang и Pitty Tiger) през 2020 г. Чрез анализиране на нейния Command-and-Control (C2, C&C) инфраструктура, експертите успяха да открият няколко връзки с компанията Xi'an Tian He Defense Technology, китайски изпълнител на отбраната.

Разпространение и заплашителни възможности

Мобилната заплаха BadBazaar се разпространява предимно чрез оръжейни приложения. Изследователите изчисляват, че от 2018 г. най-малко 111 заплашителни приложения са били използвани за заразяване на уйгурски цели. Приложенията са от широк спектър от категории – от оптимизатори на батерията и видео плейъри до религиозни приложения и речници. Вредните приложения не успяха да заобиколят сигурността на официалния Google Play Store, което предполага, че те са хоствани и разпространявани предимно чрез платформи за приложения на трети страни и повредени уебсайтове.

Веднъж активиран на заразеното устройство, BadBazaar ще започне да събира различна чувствителна информация и да я предава на своята C2 инфраструктура. Получените данни включват списък с всички приложения, инсталирани на пробитото устройство, неговата геолокация, списъци с контакти, SMS, WiFi подробности и др. Нападателите могат да използват BadBazaar, за да получат дневници на обажданията със свързаните данни за геолокация, да записват телефонни разговори, да правят произволни снимки или да ексфилтрират избрани файлове. Злонамереният софтуер също може да бъде инструктиран за достъп до папки, които обикновено се използват за съхраняване на изключително чувствителна информация, като изображения, съобщения от приложението за чат, история на чат и др.