BadBazaar
Ang BadBazaar ay isang dating hindi kilalang banta sa mobile na partikular na idinisenyo upang mahawa ang mga Android device. Ang banta ay kadalasang nilagyan ng mga kakayahan sa spyware at lumilitaw na pangunahing nagta-target sa mga etniko o relihiyong minorya sa China. Ang pinakakilalang mga target nito ay ang mga Uyghurs na matatagpuan sa autonomous na teritoryo ng Xinjiang. Ang minorya ng Uyghur ay sumailalim sa matinding pang-aapi at potensyal na paglabag sa karapatang pantao mula sa gobyerno ng China, ayon sa mga internasyonal na ulat.
Ang banta ng BadBazaar ay unang natuklasan ng mga eksperto sa cybersecurity, ngunit ang mga karagdagang detalye ay ibinigay sa isang ulat ng iba pang mga mananaliksik. Ayon sa kanilang mga natuklasan, ang mga operator ng BadBazaar ay gumagamit ng parehong imprastraktura na bahagi ng mga kampanya sa pag-atake laban sa mga Uyghurs na isinagawa ng APT15 (kilala rin bilang Ke3chang at Pitty Tiger) cybercriminal group noong 2020. Sa pamamagitan ng pagsusuri sa Command-and-Control nito (C2, C&C), ang mga eksperto ay nakatuklas ng ilang koneksyon sa kumpanya ng Xi'an Tian He Defense Technology, isang Chinese defense contractor.
Mga Kakayahang Pamamahagi at Pagbabanta
Ang banta sa mobile ng BadBazaar ay kadalasang kumalat sa pamamagitan ng mga application na may armas. Tinataya ng mga mananaliksik na mula noong 2018, hindi bababa sa 111thretening application ang ginamit upang makahawa sa mga target na Uyghur. Ang mga application ay mula sa isang malawak na hanay ng mga kategorya - mula sa mga optimizer ng baterya at mga video player hanggang sa mga relihiyosong aplikasyon at mga diksyunaryo. Hindi nalampasan ng mga mapaminsalang application ang seguridad ng opisyal na Google Play Store, na nagmungkahi na karamihan sa mga ito ay naka-host at kumalat sa pamamagitan ng mga third-party na platform ng application at mga sirang website.
Kapag na-activate na sa infected na device, sisimulan ng BadBazaar ang pagkolekta ng iba't ibang sensitibong impormasyon at ipadala ito sa imprastraktura ng C2 nito. Kasama sa nakuhang data ang listahan ng lahat ng application na naka-install sa nalabag na device, ang geolocation nito, mga listahan ng contact, SMS, mga detalye ng WiFi at higit pa. Maaaring gamitin ng mga umaatake ang BadBazaar upang makakuha ng mga log ng tawag na may nauugnay na data ng geolocation, mag-record ng mga tawag sa telepono, kumuha ng mga arbitrary na larawan o mag-exfiltrate ng mga napiling file. Ang malware ay maaari ding turuan na i-access ang mga folder na karaniwang ginagamit upang mag-imbak ng napaka-sensitibong impormasyon, tulad ng mga larawan, mga mensahe ng chat application, kasaysayan ng chat at higit pa.
