BadBazar

BadBazaar to wcześniej nieznane zagrożenie mobilne, które zostało zaprojektowane w celu infekowania urządzeń z systemem Android. Zagrożenie jest w większości wyposażone w funkcje oprogramowania szpiegującego i wydaje się być skierowane głównie do mniejszości etnicznych lub religijnych w Chinach. Jej najważniejszym celem są Ujgurowie z autonomicznego terytorium Xinjiang. Według międzynarodowych raportów mniejszość ujgurska jest poddawana skrajnym uciskom i potencjalnym naruszeniom praw człowieka ze strony chińskiego rządu.

Zagrożenie BadBazaar zostało po raz pierwszy wykryte przez ekspertów ds. cyberbezpieczeństwa, ale dodatkowe szczegóły zostały przedstawione w raporcie przez innych badaczy. Zgodnie z ich ustaleniami, operatorzy BadBazaar korzystali z tej samej infrastruktury, która była częścią kampanii ataków na Ujgurów przeprowadzonych przez grupę cyberprzestępczą APT15 (znaną również jako Ke3chang i Pitty Tiger) w 2020 roku. (C2, C&C), eksperci byli w stanie odkryć kilka połączeń z firmą Xi'an Tian He Defense Technology, chińskim wykonawcą usług obronnych.

Możliwości dystrybucji i zagrożenia

Zagrożenie mobilne BadBazaar rozprzestrzeniało się głównie za pośrednictwem uzbrojonych aplikacji. Naukowcy szacują, że od 2018 roku co najmniej 111 aplikacji grożących zostało wykorzystanych do zainfekowania celów ujgurskich. Aplikacje należą do wielu różnych kategorii — od optymalizatorów baterii i odtwarzaczy wideo po aplikacje i słowniki religijne. Szkodliwe aplikacje nie były w stanie ominąć bezpieczeństwa oficjalnego sklepu Google Play, który sugerował, że były one w większości hostowane i rozpowszechniane za pośrednictwem zewnętrznych platform aplikacji i uszkodzonych stron internetowych.

Po aktywacji na zainfekowanym urządzeniu BadBazaar zacznie zbierać różne wrażliwe informacje i przesyłać je do swojej infrastruktury C2. Pozyskane dane obejmują listę wszystkich aplikacji zainstalowanych na naruszonym urządzeniu, jego geolokalizację, listy kontaktów, SMS-y, dane WiFi i inne. Osoby atakujące mogą wykorzystać BadBazaar do uzyskania dzienników połączeń z powiązanymi danymi geolokalizacyjnymi, nagrywania rozmów telefonicznych, robienia dowolnych zdjęć lub eksfiltracji wybranych plików. Złośliwe oprogramowanie może również zostać poinstruowane, aby uzyskać dostęp do folderów zwykle używanych do przechowywania bardzo poufnych informacji, takich jak obrazy, wiadomości aplikacji czatu, historia czatów i inne.