BadBazaar

BadBazaar är ett tidigare okänt mobilhot som är utformat för att infektera Android-enheter specifikt. Hotet är mestadels utrustat med spionprogram och verkar i första hand rikta sig mot etniska eller religiösa minoriteter i Kina. Dess mest framträdande mål är uigurerna i Xinjiangs autonoma territorium. Den uiguriska minoriteten har utsatts för extremt förtryck och potentiella kränkningar av mänskliga rättigheter från den kinesiska regeringen, enligt internationella rapporter.

HotBazaar-hotet upptäcktes först av cybersäkerhetsexperter, men ytterligare detaljer lämnades i en rapport från andra forskare. Enligt deras upptäckter använde operatörerna av BadBazaar samma infrastruktur som ingick i attackkampanjer mot uigurerna som genomfördes av APT15 (även känd som Ke3chang och Pitty Tiger) cyberkriminella grupp 2020. Genom att analysera dess Command-and-Control (C2, C&C) infrastruktur kunde experterna upptäcka flera kopplingar till företaget Xi'an Tian He Defence Technology, en kinesisk försvarsentreprenör.

Distributions- och hotfulla möjligheter

BadBazaar-mobilhotet spreds mestadels via vapentillämpade applikationer. Forskare uppskattar att sedan 2018 har minst 111 hotande applikationer använts för att infektera uiguriska mål. Applikationerna kommer från ett brett spektrum av kategorier - från batterioptimerare och videospelare till religiösa applikationer och ordböcker. De skadliga applikationerna kunde inte kringgå säkerheten i den officiella Google Play Butik, vilket antydde att de mestadels var värd och spreds via tredjepartsapplikationsplattformar och korrupta webbplatser.

När den väl har aktiverats på den infekterade enheten kommer BadBazaar att börja samla in olika, känslig information och överföra den till sin C2-infrastruktur. Den erhållna informationen inkluderar en lista över alla applikationer som är installerade på den skadade enheten, dess geolokalisering, kontaktlistor, SMS, WiFi-detaljer och mer. Angriparna kunde använda BadBazaar för att få samtalsloggar med tillhörande geolokaliseringsdata, spela in telefonsamtal, ta godtyckliga bilder eller exfiltrera valda filer. Skadlig programvara kan också instrueras att komma åt mappar som vanligtvis används för att lagra mycket känslig information, såsom bilder, chattprogrammeddelanden, chatthistorik och mer.