BadBazaar

BadBazaar on aiemmin tuntematon mobiiliuhka, joka on suunniteltu saastuttamaan erityisesti Android-laitteita. Uhka on enimmäkseen varustettu vakoiluohjelmilla, ja se näyttää kohdistuvan ensisijaisesti Kiinan etnisiin tai uskonnollisiin vähemmistöihin. Sen näkyvimmät kohteet ovat Xinjiangin autonomisella alueella sijaitsevat uiguurit. Uiguurivähemmistö on joutunut äärimmäisen sorron ja mahdollisten ihmisoikeusloukkausten kohteeksi Kiinan hallituksen taholta kansainvälisten raporttien mukaan.

BadBazaar-uhan havaitsivat ensin kyberturvallisuuden asiantuntijat, mutta lisätietoja kerrottiin muiden tutkijoiden raportissa. Havaintonsa mukaan BadBazaarin operaattorit käyttivät samaa infrastruktuuria, joka oli osa APT15 :n (tunnetaan myös nimellä Ke3chang ja Pitty Tiger) kyberrikollisryhmän vuonna 2020 toteuttamia hyökkäyskampanjoita uiguuria vastaan. Analysoimalla sen Command-and-Control (C2, C&C) infrastruktuuria, asiantuntijat löysivät useita yhteyksiä kiinalaisen puolustusalan urakoitsijan Xi'an Tian He Defence Technology -yritykseen.

Jakelu- ja uhkausominaisuudet

BadBazaar-mobiiliuhka levisi enimmäkseen aseistettujen sovellusten kautta. Tutkijat arvioivat, että vuodesta 2018 lähtien vähintään 111 uhkaavaa sovellusta on käytetty tartuttamaan uiguurikohteita. Sovelluksia on laajasta valikoimasta luokkia - akun optimoijista ja videosoittimista uskonnollisiin sovelluksiin ja sanakirjoihin. Haitalliset sovellukset eivät kyenneet ohittamaan virallisen Google Play Kaupan turvallisuutta, mikä viittaa siihen, että niitä isännöitiin ja levitettiin pääasiassa kolmansien osapuolien sovellusalustoilla ja vioittuneilla verkkosivustoilla.

Kun BadBazaar on aktivoitu tartunnan saaneessa laitteessa, se alkaa kerätä erilaisia arkaluontoisia tietoja ja lähettää niitä C2-infrastruktuuriinsa. Saadut tiedot sisältävät luettelon kaikista rikkoutuneeseen laitteeseen asennetuista sovelluksista, sen maantieteellisen sijainnin, yhteystietoluettelot, tekstiviestit, WiFi-tiedot ja paljon muuta. Hyökkääjät saattoivat käyttää BadBazaaria saadakseen puhelulokeja ja niihin liittyviä maantieteellisiä tietoja, tallentaakseen puheluita, ottaakseen mielivaltaisia kuvia tai tutkiakseen valittuja tiedostoja. Haittaohjelma voidaan myös ohjeistaa pääsemään kansioihin, joita käytetään tyypillisesti erittäin arkaluonteisten tietojen, kuten kuvien, chat-sovellusviestien, keskusteluhistorian ja muiden tallentamiseen.