BadBazaar
BadBazaar este o amenințare mobilă necunoscută anterior, concepută pentru a infecta dispozitivele Android în mod specific. Amenințarea este echipată în mare parte cu capabilități de spyware și pare să vizeze în principal minoritățile etnice sau religioase din China. Țintele sale cele mai proeminente sunt uigurii aflați pe teritoriul autonom Xinjiang. Minoritatea uigură a fost supusă opresiunii extreme și potențialelor încălcări ale drepturilor omului din partea guvernului chinez, potrivit rapoartelor internaționale.
Amenințarea BadBazaar a fost descoperită pentru prima dată de experții în securitate cibernetică, dar detalii suplimentare au fost furnizate într-un raport al altor cercetători. Conform constatărilor lor, operatorii BadBazaar foloseau aceeași infrastructură care făcea parte din campaniile de atac împotriva uigurilor desfășurate de grupul criminal cibernetic APT15 (cunoscut și sub numele de Ke3chang și Pitty Tiger) în 2020. Analizând comanda și controlul acestuia (C2, C&C), experții au putut descoperi mai multe conexiuni cu compania Xi'an Tian He Defense Technology, un contractor chinez de apărare.
Capacități de distribuție și amenințări
Amenințarea BadBazaar pentru mobil a fost răspândită în cea mai mare parte prin intermediul aplicațiilor cu arme. Cercetătorii estimează că din 2018 au fost folosite cel puțin 111 aplicații de amenințare pentru a infecta ținte uigure. Aplicațiile sunt dintr-o gamă largă de categorii - de la optimizatoare de baterie și playere video până la aplicații și dicționare religioase. Aplicațiile dăunătoare nu au reușit să ocolească securitatea magazinului oficial Google Play, ceea ce sugera că au fost găzduite și răspândite în mare parte prin platforme de aplicații terțe și site-uri web corupte.
Odată activat pe dispozitivul infectat, BadBazaar va începe să colecteze diverse informații sensibile și să le transmită infrastructurii sale C2. Datele obținute includ o listă cu toate aplicațiile instalate pe dispozitivul încălcat, geolocalizarea acestuia, liste de contacte, SMS-uri, detalii WiFi și multe altele. Atacatorii ar putea folosi BadBazaar pentru a obține jurnalele de apeluri cu datele asociate de localizare geografică, pentru a înregistra apeluri telefonice, pentru a face fotografii arbitrare sau pentru a exfiltra fișierele alese. De asemenea, programul malware ar putea fi instruit să acceseze folderele utilizate în mod obișnuit pentru a stoca informații extrem de sensibile, cum ar fi imagini, mesaje ale aplicațiilor de chat, istoricul chatului și multe altele.
