BadBazaar

BadBazaar er en hidtil ukendt mobiltrussel, der er designet til specifikt at inficere Android-enheder. Truslen er for det meste udstyret med spyware-funktioner og ser ud til primært at være rettet mod etniske eller religiøse minoriteter i Kina. Dens mest fremtrædende mål er uigurerne i Xinjiangs autonome område. Det uiguriske mindretal har været udsat for ekstrem undertrykkelse og potentielle menneskerettighedskrænkelser fra den kinesiske regering, ifølge internationale rapporter.

BadBazaar-truslen blev først opdaget af cybersikkerhedseksperter, men yderligere detaljer blev givet i en rapport fra andre forskere. Ifølge deres resultater brugte operatørerne af BadBazaar den samme infrastruktur, som var en del af angrebskampagner mod uigurerne udført af APT15 (også kendt som Ke3chang og Pitty Tiger) cyberkriminelle gruppe i 2020. Ved at analysere dens Command-and-Control (C2, C&C) infrastruktur, var eksperterne i stand til at opdage flere forbindelser til Xi'an Tian He Defence Technology-virksomheden, en kinesisk forsvarsentreprenør.

Distributions- og trusselsevner

BadBazaar mobiltruslen blev for det meste spredt via våbenbaserede applikationer. Forskere vurderer, at der siden 2018 er blevet brugt mindst 111 truende applikationer til at inficere uiguriske mål. Applikationerne er fra en lang række kategorier - fra batterioptimering og videoafspillere til religiøse applikationer og ordbøger. De skadelige applikationer var ikke i stand til at omgå sikkerheden i den officielle Google Play Butik, hvilket antydede, at de for det meste var hostet og spredt via tredjeparts applikationsplatforme og beskadigede websteder.

Når den er aktiveret på den inficerede enhed, begynder BadBazaar at indsamle forskellige, følsomme oplysninger og sende dem til sin C2-infrastruktur. De opnåede data inkluderer en liste over alle applikationer installeret på den brudte enhed, dens geoplacering, kontaktlister, SMS, WiFi-detaljer og mere. Angriberne kunne bruge BadBazaar til at få opkaldslogger med de tilhørende geolokaliseringsdata, optage telefonopkald, tage vilkårlige billeder eller eksfiltrere valgte filer. Malwaren kan også blive instrueret til at få adgang til mapper, der typisk bruges til at gemme meget følsomme oplysninger, såsom billeder, chat-applikationsbeskeder, chathistorik og mere.