BadBazaar

O BadBazaar é uma ameaça para o celular anteriormente desconhecida, projetada para infectar especificamente os dispositivos Android. A ameaça está equipada principalmente com recursos de spyware e parece ter como alvo principalmente minorias étnicas ou religiosas na China. Seus alvos mais proeminentes são os Uigures localizados no território autônomo de Xinjiang. A minoria Uigure foi submetida a extrema opressão e potenciais violações de direitos humanos por parte do governo chinês, de acordo com relatórios internacionais.

A ameaça BadBazaar foi descoberta peos especialistas em segurança cibernética, mas detalhes adicionais foram fornecidos em um relatório de outros pesquisadores. De acordo com suas descobertas, os operadores do BadBazaar estavam usando a mesma infraestrutura que fazia parte das campanhas de ataque contra os uigures realizadas pelo grupo cibercriminoso APT15 (também conhecido como Ke3chang e Pitty Tiger) em 2020. Ao analisar seu Comando e Controle (C2, C&C), os especialistas conseguiram descobrir várias conexões com a empresa Xi'an Tian He Defense Technology, uma empresa de defesa chinesa.

Distribuição e Capacidades Ameaçadoras

A ameaça para o celular BadBazaar foi espalhada principalmente por meio de aplicativos armados. Os pesquisadores estimam que, desde 2018, pelo menos 111 aplicativos ameaçadores foram usados para infectar alvos Uigures. Os aplicativos são de uma ampla variedade de categorias - de otimizadores de bateria e players de vídeo a aplicativos religiosos e dicionários. Os aplicativos nocivos não conseguiram burlar a segurança da Google Play Store oficial, que sugeria que eles eram principalmente hospedados e espalhados por meio de plataformas de aplicativos de terceiros e sites corrompidos.

Uma vez ativado no dispositivo infectado, o BadBazaar começará a coletar várias informações confidenciais e a transmiti-las à sua infraestrutura C2. Os dados obtidos incluem uma lista de todos os aplicativos instalados no dispositivo violado, sua geolocalização, listas de contatos, SMS, detalhes de WiFi e muito mais. Os invasores podem usar o BadBazaar para obter registros de chamadas com os dados de geolocalização associados, gravar chamadas telefônicas, tirar fotos arbitrárias ou exfiltrar arquivos escolhidos. O malware também pode ser instruído a acessar pastas normalmente usadas para armazenar informações altamente confidenciais, como imagens, mensagens de aplicativos de bate-papo, histórico de bate-papo e muito mais.