BadBazaar

BadBazaar is een voorheen onbekende mobiele dreiging die specifiek is ontworpen om Android-apparaten te infecteren. De dreiging is meestal uitgerust met spyware-mogelijkheden en lijkt vooral gericht te zijn op etnische of religieuze minderheden in China. De meest prominente doelen zijn de Oeigoeren in het autonome gebied Xinjiang. Volgens internationale rapporten is de Oeigoerse minderheid onderworpen aan extreme onderdrukking en mogelijke mensenrechtenschendingen door de Chinese regering.

De dreiging van BadBazaar werd voor het eerst ontdekt door cybersecurity-experts, maar aanvullende details werden verstrekt in een rapport van andere onderzoekers. Volgens hun bevindingen gebruikten de exploitanten van BadBazaar dezelfde infrastructuur die deel uitmaakte van aanvalscampagnes tegen de Oeigoeren die in 2020 werden uitgevoerd door de cybercriminele groep APT15 (ook bekend als Ke3chang en Pitty Tiger). (C2, C&C) infrastructuur, konden de experts verschillende connecties ontdekken met het Xi'an Tian He Defense Technology-bedrijf, een Chinese defensie-aannemer.

Distributie en dreigende mogelijkheden

De mobiele dreiging van BadBazaar werd voornamelijk verspreid via bewapende applicaties. Onderzoekers schatten dat er sinds 2018 minstens 111 bedreigingstoepassingen zijn gebruikt om Oeigoerse doelen te infecteren. De toepassingen komen uit een breed scala aan categorieën - van batterij-optimizers en videospelers tot religieuze toepassingen en woordenboeken. De schadelijke applicaties konden de beveiliging van de officiële Google Play Store niet omzeilen, wat suggereerde dat ze voornamelijk werden gehost en verspreid via applicatieplatforms van derden en corrupte websites.

Eenmaal geactiveerd op het geïnfecteerde apparaat, begint BadBazaar verschillende, gevoelige informatie te verzamelen en deze naar zijn C2-infrastructuur te verzenden. De verkregen gegevens omvatten een lijst van alle applicaties die op het geschonden apparaat zijn geïnstalleerd, de geolocatie, contactlijsten, sms, wifi-gegevens en meer. De aanvallers kunnen BadBazaar gebruiken om oproeplogboeken met de bijbehorende geolocatiegegevens op te halen, telefoongesprekken op te nemen, willekeurige foto's te maken of gekozen bestanden te exfiltreren. De malware kan ook worden geïnstrueerd om toegang te krijgen tot mappen die doorgaans worden gebruikt om zeer gevoelige informatie op te slaan, zoals afbeeldingen, chattoepassingsberichten, chatgeschiedenis en meer.