BadBazaar

BadBazaar je prej neznana mobilna grožnja, ki je zasnovana posebej za okužbo naprav Android. Grožnja je večinoma opremljena z zmogljivostmi vohunske programske opreme in zdi se, da cilja predvsem na etnične ali verske manjšine na Kitajskem. Njegove najpomembnejše tarče so Ujguri, ki se nahajajo na avtonomnem ozemlju Xinjiang. Ujgurska manjšina je bila po mednarodnih poročilih izpostavljena skrajnemu zatiranju in morebitnim kršitvam človekovih pravic s strani kitajske vlade.

Grožnjo BadBazaar so prvi odkrili strokovnjaki za kibernetsko varnost, vendar so dodatne podrobnosti podali v poročilu drugih raziskovalcev. Po njihovih ugotovitvah so operaterji BadBazaarja uporabljali isto infrastrukturo, ki je bila del napadov na Ujgure, ki jih je leta 2020 izvajala kibernetska kriminalna skupina APT15 (znana tudi kot Ke3chang in Pitty Tiger). Z analizo njenega ukaza in nadzora (C2, C&C) infrastrukturo, so strokovnjaki lahko odkrili več povezav s podjetjem Xi'an Tian He Defense Technology, kitajskim obrambnim izvajalcem.

Distribucijske in nevarne zmogljivosti

Mobilna grožnja BadBazaar se je večinoma širila prek orožnih aplikacij. Raziskovalci ocenjujejo, da je bilo od leta 2018 za okužbo ujgurskih tarč uporabljenih vsaj 111 aplikacij za grožnje. Aplikacije so iz najrazličnejših kategorij – od optimizatorjev baterije in video predvajalnikov do verskih aplikacij in slovarjev. Škodljive aplikacije niso mogle zaobiti varnosti uradne trgovine Google Play, kar je nakazovalo, da jih večinoma gostijo in širijo prek aplikacijskih platform tretjih oseb in poškodovanih spletnih mest.

Ko bo BadBazaar aktiviran na okuženi napravi, bo začel zbirati različne občutljive podatke in jih prenašati v svojo infrastrukturo C2. Pridobljeni podatki vključujejo seznam vseh aplikacij, nameščenih na vdreti napravi, njeno geolokacijo, sezname stikov, SMS, podrobnosti WiFi in drugo. Napadalci bi lahko uporabili BadBazaar za pridobivanje dnevnikov klicev s povezanimi geolokacijskimi podatki, snemanje telefonskih klicev, fotografiranje poljubnih fotografij ali izločanje izbranih datotek. Zlonamerna programska oprema bi lahko dobila tudi navodila za dostop do map, ki se običajno uporabljajo za shranjevanje zelo občutljivih informacij, kot so slike, sporočila aplikacij za klepet, zgodovina klepetov in drugo.