Бадбазар

BadBazaar — ранее неизвестная мобильная угроза, предназначенная специально для заражения Android-устройств. Угроза в основном оснащена шпионскими возможностями и, по-видимому, в первую очередь нацелена на этнические или религиозные меньшинства в Китае. Его наиболее заметными целями являются уйгуры, проживающие в Синьцзянской автономной территории. Согласно международным сообщениям, уйгурское меньшинство подвергается крайнему притеснению и потенциальным нарушениям прав человека со стороны китайского правительства.

Угроза BadBazaar была впервые обнаружена экспертами по кибербезопасности, но дополнительные подробности были предоставлены в отчете других исследователей. Согласно их выводам, операторы BadBazaar использовали ту же инфраструктуру, которая была частью атак на уйгуров, проведенных киберпреступной группой APT15 (также известной как Ke3chang и Pitty Tiger) в 2020 году. (C2, C&C), эксперты смогли обнаружить несколько связей с компанией Xi'an Tian He Defense Technology, китайским оборонным подрядчиком.

Возможности распространения и угрозы

Мобильная угроза BadBazaar в основном распространялась через вооруженные приложения. По оценкам исследователей, с 2018 года для заражения уйгурских целей использовалось не менее 111 приложений для предотвращения заражения. Приложения из самых разных категорий — от оптимизаторов батареи и видеоплееров до религиозных приложений и словарей. Вредоносные приложения не смогли обойти систему безопасности официального магазина Google Play, что свидетельствовало о том, что в основном они размещались и распространялись через сторонние платформы приложений и поврежденные веб-сайты.

После активации на зараженном устройстве BadBazaar начнет собирать различную конфиденциальную информацию и передавать ее в свою инфраструктуру C2. Полученные данные включают в себя список всех приложений, установленных на взломанном устройстве, его геолокацию, списки контактов, SMS, сведения о WiFi и многое другое. Злоумышленники могут использовать BadBazaar для получения журналов вызовов с соответствующими данными геолокации, записи телефонных звонков, получения произвольных изображений или эксфильтрации выбранных файлов. Вредоносная программа также может получить доступ к папкам, которые обычно используются для хранения конфиденциальной информации, такой как изображения, сообщения приложений чата, история чата и многое другое.