BadBazaar
Το BadBazaar είναι μια προηγουμένως άγνωστη απειλή για κινητά που έχει σχεδιαστεί για να μολύνει ειδικά συσκευές Android. Η απειλή είναι κυρίως εξοπλισμένη με δυνατότητες spyware και φαίνεται να στοχεύει κυρίως εθνοτικές ή θρησκευτικές μειονότητες στην Κίνα. Οι πιο εξέχοντες στόχοι της είναι οι Ουιγούροι που βρίσκονται στην αυτόνομη επικράτεια του Xinjiang. Η μειονότητα των Ουιγούρων έχει υποστεί ακραία καταπίεση και πιθανές παραβιάσεις των ανθρωπίνων δικαιωμάτων από την κινεζική κυβέρνηση, σύμφωνα με διεθνείς εκθέσεις.
Η απειλή του BadBazaar ανακαλύφθηκε για πρώτη φορά από ειδικούς στον κυβερνοχώρο, αλλά πρόσθετες λεπτομέρειες δόθηκαν σε μια έκθεση άλλων ερευνητών. Σύμφωνα με τα ευρήματά τους, οι χειριστές του BadBazaar χρησιμοποιούσαν την ίδια υποδομή που αποτελούσε μέρος εκστρατειών επίθεσης κατά των Ουιγούρων που πραγματοποιήθηκαν από την κυβερνοεγκληματική ομάδα APT15 (επίσης γνωστή ως Ke3chang και Pitty Tiger) το 2020. Αναλύοντας το Command-and-Control της (C2, C&C), οι ειδικοί μπόρεσαν να ανακαλύψουν αρκετές συνδέσεις με την εταιρεία Xi'an Tian He Defense Technology, έναν κινεζικό αμυντικό εργολάβο.
Δυνατότητες διανομής και απειλής
Η απειλή για κινητά BadBazaar διαδόθηκε κυρίως μέσω οπλισμένων εφαρμογών. Οι ερευνητές εκτιμούν ότι από το 2018 έχουν χρησιμοποιηθεί τουλάχιστον 111 απειλητικές εφαρμογές για τη μόλυνση στόχων των Ουιγούρων. Οι εφαρμογές προέρχονται από ένα ευρύ φάσμα κατηγοριών - από βελτιστοποιητές μπαταριών και προγράμματα αναπαραγωγής βίντεο έως θρησκευτικές εφαρμογές και λεξικά. Οι επιβλαβείς εφαρμογές δεν μπόρεσαν να παρακάμψουν την ασφάλεια του επίσημου Google Play Store, το οποίο υποδηλώνει ότι κυρίως φιλοξενούνταν και διαδίδονταν μέσω πλατφορμών εφαρμογών τρίτων και κατεστραμμένων ιστότοπων.
Μόλις ενεργοποιηθεί στη μολυσμένη συσκευή, το BadBazaar θα αρχίσει να συλλέγει διάφορες, ευαίσθητες πληροφορίες και να τις μεταδίδει στην υποδομή C2 του. Τα δεδομένα που λαμβάνονται περιλαμβάνουν μια λίστα με όλες τις εφαρμογές που είναι εγκατεστημένες στη συσκευή που έχει παραβιαστεί, τη γεωγραφική της θέση, λίστες επαφών, SMS, λεπτομέρειες WiFi και άλλα. Οι εισβολείς θα μπορούσαν να χρησιμοποιήσουν το BadBazaar για να λάβουν αρχεία καταγραφής κλήσεων με τα σχετικά δεδομένα γεωγραφικής τοποθεσίας, να καταγράψουν τηλεφωνικές κλήσεις, να τραβήξουν αυθαίρετες φωτογραφίες ή να διεισδύσουν επιλεγμένα αρχεία. Το κακόβουλο λογισμικό θα μπορούσε επίσης να λάβει οδηγίες για πρόσβαση σε φακέλους που χρησιμοποιούνται συνήθως για την αποθήκευση πολύ ευαίσθητων πληροφοριών, όπως εικόνες, μηνύματα εφαρμογής συνομιλίας, ιστορικό συνομιλιών και άλλα.
