BadBazaar

BadBazaar és una amenaça mòbil desconeguda anteriorment que està dissenyada per infectar específicament els dispositius Android. L'amenaça està equipada principalment amb capacitats de programari espia i sembla que s'adreça principalment a minories ètniques o religioses a la Xina. Els seus objectius més destacats són els uigurs situats al territori autònom de Xinjiang. La minoria uigur ha estat sotmesa a una opressió extrema i a possibles violacions dels drets humans per part del govern xinès, segons informes internacionals.

L'amenaça BadBazaar va ser descoberta per primera vegada pels experts en ciberseguretat, però es van proporcionar detalls addicionals en un informe d'altres investigadors. Segons les seves troballes, els operadors de BadBazaar estaven utilitzant la mateixa infraestructura que formava part de les campanyes d'atac contra els uigurs realitzades pel grup cibercriminal APT15 (també conegut com a Ke3chang i Pitty Tiger) el 2020. En analitzar el seu Command-and-Control (C2, C&C), els experts van poder descobrir diverses connexions amb l'empresa Xi'an Tian He Defense Technology, un contractista de defensa xinès.

Capacitats de distribució i amenaça

L'amenaça mòbil de BadBazaar es va estendre principalment mitjançant aplicacions armades. Els investigadors estimen que des del 2018 s'han utilitzat almenys 111 aplicacions d'amenaçament per infectar objectius uigurs. Les aplicacions són d'una àmplia gamma de categories: des d'optimitzadors de bateries i reproductors de vídeo fins a aplicacions i diccionaris religiosos. Les aplicacions perjudicials no van poder evitar la seguretat de la botiga oficial de Google Play, la qual cosa va suggerir que estaven allotjades i difoses a través de plataformes d'aplicacions de tercers i llocs web corruptes.

Un cop activat al dispositiu infectat, BadBazaar començarà a recopilar informació diversa i sensible i a transmetre-la a la seva infraestructura C2. Les dades obtingudes inclouen una llista de totes les aplicacions instal·lades al dispositiu violat, la seva geolocalització, llistes de contactes, SMS, detalls de WiFi i molt més. Els atacants podrien utilitzar BadBazaar per obtenir registres de trucades amb les dades de geolocalització associades, gravar trucades telefòniques, fer fotografies arbitràries o exfiltrar els fitxers escollits. També es podria indicar al programari maliciós que accedeixi a les carpetes que normalment s'utilitzen per emmagatzemar informació molt sensible, com ara imatges, missatges d'aplicacions de xat, historial de xat i molt més.