BadBazaar

BadBazaar è una minaccia mobile precedentemente sconosciuta progettata per infettare specificamente i dispositivi Android. La minaccia è per lo più dotata di funzionalità spyware e sembra prendere di mira principalmente le minoranze etniche o religiose in Cina. I suoi obiettivi più importanti sono gli uiguri situati nel territorio autonomo dello Xinjiang. Secondo rapporti internazionali, la minoranza uigura è stata sottoposta a un'estrema oppressione e a potenziali violazioni dei diritti umani da parte del governo cinese.

La minaccia BadBazaar è stata scoperta per la prima volta da esperti di sicurezza informatica, ma ulteriori dettagli sono stati forniti in un rapporto di altri ricercatori. Secondo le loro scoperte, gli operatori di BadBazaar stavano utilizzando la stessa infrastruttura che faceva parte delle campagne di attacco contro gli uiguri condotte dal gruppo di criminali informatici APT15 (noto anche come Ke3chang e Pitty Tiger) nel 2020. Analizzando il suo Command-and-Control (C2, C&C), gli esperti sono stati in grado di scoprire diversi collegamenti con la società Xi'an Tian He Defense Technology, un appaltatore cinese della difesa.

Capacità di distribuzione e minacce

La minaccia mobile BadBazaar è stata diffusa principalmente tramite applicazioni armate. I ricercatori stimano che dal 2018 almeno 111 applicazioni minacciose siano state utilizzate per infettare obiettivi uiguri. Le applicazioni appartengono a un'ampia gamma di categorie, dagli ottimizzatori di batterie e lettori video alle applicazioni religiose e ai dizionari. Le applicazioni dannose non sono state in grado di aggirare la sicurezza del Google Play Store ufficiale, che suggeriva che fossero per lo più ospitate e diffuse tramite piattaforme di applicazioni di terze parti e siti Web corrotti.

Una volta attivato sul dispositivo infetto, BadBazaar inizierà a raccogliere varie informazioni sensibili e a trasmetterle alla sua infrastruttura C2. I dati ottenuti includono un elenco di tutte le applicazioni installate sul dispositivo violato, la sua geolocalizzazione, elenchi di contatti, SMS, dettagli WiFi e altro. Gli aggressori potrebbero utilizzare BadBazaar per ottenere i registri delle chiamate con i dati di geolocalizzazione associati, registrare le telefonate, scattare foto arbitrarie o esfiltrare i file scelti. Il malware potrebbe anche essere istruito per accedere alle cartelle generalmente utilizzate per archiviare informazioni altamente sensibili, come immagini, messaggi dell'applicazione chat, cronologia chat e altro.