BadBazaar

„BadBazaar“ yra anksčiau nežinoma mobiliojo ryšio grėsmė, skirta konkrečiai „Android“ įrenginiams užkrėsti. Grėsmė dažniausiai yra aprūpinta šnipinėjimo programomis ir, atrodo, pirmiausia nukreipta į etnines ar religines mažumas Kinijoje. Ryškiausi jos taikiniai yra Sindziango autonominėje teritorijoje esantys uigūrai. Remiantis tarptautinėmis ataskaitomis, Kinijos vyriausybė uigūrų mažuma patyrė didžiulę priespaudą ir galimus žmogaus teisių pažeidimus.

„BadBazaar“ grėsmę pirmieji atrado kibernetinio saugumo ekspertai, tačiau papildomos detalės buvo pateiktos kitų tyrėjų ataskaitoje. Remiantis jų išvadomis, „BadBazaar“ operatoriai naudojo tą pačią infrastruktūrą, kuri buvo 2020 m. APT15 (taip pat žinomos kaip Ke3chang ir Pitty Tiger) kibernetinės nusikaltėlių grupės atakų prieš uigūrus dalis. (C2, C&C) infrastruktūrą, ekspertai sugebėjo atrasti keletą sąsajų su Kinijos gynybos rangovu Xi'an Tian He Defence Technology kompanija.

Platinimo ir grėsmės galimybės

„BadBazaar“ mobiliojo ryšio grėsmė dažniausiai buvo platinama naudojant ginkluotas programas. Tyrėjai apskaičiavo, kad nuo 2018 m. uigūrų taikiniams užkrėsti buvo panaudota mažiausiai 111 grėsmingų programų. Programos yra iš įvairių kategorijų – nuo akumuliatoriaus optimizavimo priemonių ir vaizdo grotuvų iki religinių programų ir žodynų. Kenksmingos programos negalėjo apeiti oficialios „Google Play“ parduotuvės saugumo, todėl buvo galima daryti prielaidą, kad jos dažniausiai buvo talpinamos ir platinamos per trečiųjų šalių programų platformas ir sugadintas svetaines.

Suaktyvinus užkrėstame įrenginyje, BadBazaar pradės rinkti įvairią, neskelbtiną informaciją ir perduoti ją į savo C2 infrastruktūrą. Gauti duomenys apima visų pažeistame įrenginyje įdiegtų programų sąrašą, jo geografinę vietą, kontaktų sąrašus, SMS, WiFi duomenis ir kt. Užpuolikai galėjo naudoti „BadBazaar“, kad gautų skambučių žurnalus su susijusiais geografinės padėties duomenimis, įrašytų telefono skambučius, padarytų savavališkas nuotraukas arba išfiltruotų pasirinktus failus. Kenkėjiška programa taip pat gali būti nurodyta pasiekti aplankus, kurie paprastai naudojami labai jautriai informacijai, pvz., vaizdams, pokalbių programos pranešimams, pokalbių istorijai ir kt., saugoti.