BadBazaar

BadBazaar je dříve neznámá mobilní hrozba, která je navržena tak, aby konkrétně infikovala zařízení Android. Hrozba je většinou vybavena schopnostmi spywaru a zdá se, že se primárně zaměřuje na etnické nebo náboženské menšiny v Číně. Jeho nejvýznamnějšími cíli jsou Ujgurové nacházející se na autonomním území Sin-ťiang. Ujgurská menšina byla podle mezinárodních zpráv vystavena extrémnímu útlaku a potenciálnímu porušování lidských práv ze strany čínské vlády.

Hrozbu BadBazaar poprvé objevili experti na kybernetickou bezpečnost, ale další podrobnosti byly poskytnuty ve zprávě jiných výzkumníků. Podle jejich zjištění používali provozovatelé BadBazaar stejnou infrastrukturu, která byla součástí útočných kampaní proti Ujgurům, které provedla skupina kyberzločinců APT15 (také známá jako Ke3chang a Pitty Tiger) v roce 2020. Analýzou jejího Command-and-Control (C2, C&C) se odborníkům podařilo objevit několik spojení se společností Xi'an Tian He Defense Technology, čínským dodavatelem obrany.

Distribuční a ohrožující schopnosti

Mobilní hrozba BadBazaar se většinou šířila prostřednictvím zbrojních aplikací. Vědci odhadují, že od roku 2018 bylo k infikování ujgurských cílů použito nejméně 111 aplikací. Aplikace jsou ze široké škály kategorií – od optimalizátorů baterie a přehrávačů videa až po náboženské aplikace a slovníky. Škodlivé aplikace nebyly schopny obejít zabezpečení oficiálního obchodu Google Play, který naznačoval, že byly většinou hostovány a šířeny prostřednictvím aplikačních platforem třetích stran a poškozených webových stránek.

Po aktivaci na infikovaném zařízení začne BadBazaar shromažďovat různé citlivé informace a přenášet je do své infrastruktury C2. Získaná data zahrnují seznam všech aplikací nainstalovaných na napadeném zařízení, jeho geolokaci, seznamy kontaktů, SMS, detaily WiFi a další. Útočníci by mohli pomocí BadBazaar získat protokoly hovorů s přidruženými geolokačními údaji, zaznamenávat telefonní hovory, pořizovat libovolné obrázky nebo exfiltrovat vybrané soubory. Malware by také mohl dostat pokyn k přístupu do složek, které se obvykle používají k ukládání vysoce citlivých informací, jako jsou obrázky, zprávy chatovací aplikace, historie chatu a další.