BadBazaar

A BadBazaar egy korábban ismeretlen mobil fenyegetés, amelyet kifejezetten Android-eszközök megfertőzésére terveztek. A fenyegetés többnyire kémprogram-képességekkel van felszerelve, és úgy tűnik, hogy elsősorban a kínai etnikai vagy vallási kisebbségeket célozza meg. Legkiemelkedőbb célpontjai a Hszincsiang autonóm területen található ujgurok. Nemzetközi jelentések szerint az ujgur kisebbséget a kínai kormány rendkívüli elnyomásnak és potenciális emberi jogsértésnek volt kitéve.

A BadBazaar fenyegetést először kiberbiztonsági szakértők fedezték fel, de további részleteket más kutatók jelentésében közöltek. Megállapításaik szerint a BadBazaar üzemeltetői ugyanazt az infrastruktúrát használták, mint az APT15 (más néven Ke3chang és Pitty Tiger) kiberbűnözői csoport 2020-ban végrehajtott ujgurok elleni támadásaiban. (C2, C&C) infrastruktúra, a szakértők több kapcsolatot is felfedezhettek a Xi'an Tian He Defense Technology céggel, egy kínai védelmi vállalkozóval.

Elosztási és fenyegetési képességek

A BadBazaar mobilfenyegetés többnyire fegyveres alkalmazásokon keresztül terjedt. A kutatók becslése szerint 2018 óta legalább 111 fenyegető alkalmazást használtak ujgur célpontok megfertőzésére. Az alkalmazások a kategóriák széles skálájából származnak - az akkumulátor-optimalizálóktól és a videolejátszóktól a vallási alkalmazásokig és szótárakig. A kártékony alkalmazások nem tudták megkerülni a hivatalos Google Play Áruház biztonságát, ami arra utalt, hogy többnyire harmadik féltől származó alkalmazásplatformokon és sérült webhelyeken keresztül tárolták és terjedtek.

A fertőzött eszközön történő aktiválás után a BadBazaar különféle, érzékeny információkat gyűjt, és továbbítja a C2 infrastruktúrájába. A kapott adatok tartalmazzák a feltört eszközre telepített összes alkalmazás listáját, annak földrajzi elhelyezkedését, névjegyzékeit, SMS-eket, WiFi-adatokat és egyebeket. A támadók a BadBazaar segítségével hívásnaplókat kaphatnak a kapcsolódó földrajzi helyadatokkal, telefonhívásokat rögzíthetnek, tetszőleges képeket készíthetnek, vagy kiszűrhetik a kiválasztott fájlokat. A rosszindulatú program arra is utasítható, hogy hozzáférjen olyan mappákhoz, amelyeket általában rendkívül érzékeny információk, például képek, csevegőalkalmazás-üzenetek, csevegési előzmények és egyebek tárolására használnak.