BadBazaar

BadBazaar er en tidligere ukjent mobiltrussel som er designet for å infisere Android-enheter spesifikt. Trusselen er for det meste utstyrt med spionprogrammer og ser ut til å være primært rettet mot etniske eller religiøse minoriteter i Kina. Dens mest fremtredende mål er uigurene som ligger i Xinjiangs autonome territorium. Den uiguriske minoriteten har vært utsatt for ekstrem undertrykkelse og potensielle menneskerettighetsbrudd fra den kinesiske regjeringen, ifølge internasjonale rapporter.

BadBazaar-trusselen ble først oppdaget av cybersikkerhetseksperter, men ytterligere detaljer ble gitt i en rapport fra andre forskere. Ifølge funnene deres brukte operatørene av BadBazaar den samme infrastrukturen som var en del av angrepskampanjer mot uigurene utført av APT15 (også kjent som Ke3chang og Pitty Tiger) nettkriminelle gruppe i 2020. Ved å analysere dens Command-and-Control (C2, C&C) infrastruktur, var ekspertene i stand til å oppdage flere forbindelser til Xi'an Tian He Defence Technology-selskapet, en kinesisk forsvarsentreprenør.

Distribusjon og truende evner

BadBazaar-mobiltrusselen ble stort sett spredt via våpenbaserte applikasjoner. Forskere anslår at siden 2018 har minst 111 truende applikasjoner blitt brukt til å infisere uiguriske mål. Applikasjonene er fra et bredt spekter av kategorier – fra batterioptimaliserere og videospillere til religiøse applikasjoner og ordbøker. De skadelige applikasjonene var ikke i stand til å omgå sikkerheten til den offisielle Google Play-butikken, noe som antydet at de stort sett ble hostet og spredt via tredjeparts applikasjonsplattformer og ødelagte nettsteder.

Når den er aktivert på den infiserte enheten, vil BadBazaar begynne å samle inn diverse, sensitiv informasjon og overføre den til sin C2-infrastruktur. De innhentede dataene inkluderer en liste over alle applikasjoner installert på den brutte enheten, dens geolokalisering, kontaktlister, SMS, WiFi-detaljer og mer. Angriperne kunne bruke BadBazaar for å få anropslogger med tilhørende geolokaliseringsdata, ta opp telefonsamtaler, ta vilkårlige bilder eller eksfiltrere valgte filer. Skadevaren kan også bli bedt om å få tilgang til mapper som vanligvis brukes til å lagre svært sensitiv informasjon, for eksempel bilder, meldinger fra chat-applikasjoner, chattehistorikk og mer.