BadBazaar

BadBazaar — це раніше невідома мобільна загроза, розроблена спеціально для зараження пристроїв Android. Загроза в основному оснащена можливостями шпигунського програмного забезпечення та, здається, націлена в основному на етнічні чи релігійні меншини в Китаї. Його найпомітнішими цілями є уйгури, які проживають на автономній території Сіньцзян. Згідно з міжнародними звітами, уйгурська меншина зазнає надзвичайного гноблення та потенційних порушень прав людини з боку китайського уряду.

Загрозу BadBazaar вперше виявили експерти з кібербезпеки, але додаткові подробиці надали у звіті інших дослідників. Згідно з їхніми висновками, оператори BadBazaar використовували ту саму інфраструктуру, яка була частиною кампаній атак проти уйгурів, здійснених групою кіберзлочинців APT15 (також відомою як Ke3chang і Pitty Tiger) у 2020 році. Проаналізувавши її командно-контрольну систему (C2, C&C), експерти змогли виявити кілька зв’язків із компанією Xi'an Tian He Defense Technology, китайським оборонним підрядником.

Розповсюдження та загрозливі можливості

Мобільна загроза BadBazaar здебільшого поширювалася через збройні програми. Дослідники підрахували, що з 2018 року щонайменше 111 загрозливих програм було використано для зараження уйгурських цілей. Додатки представлені в різних категоріях - від оптимізаторів батареї та відеоплеєрів до релігійних програм і словників. Шкідливі програми не змогли обійти безпеку офіційного Google Play Store, що свідчить про те, що вони здебільшого розміщувалися та поширювалися через сторонні платформи програм і пошкоджені веб-сайти.

Після активації на зараженому пристрої BadBazaar почне збирати різноманітну конфіденційну інформацію та передавати її до своєї інфраструктури C2. Отримані дані включають список усіх додатків, встановлених на зламаному пристрої, його геолокацію, списки контактів, SMS, деталі WiFi тощо. Зловмисники могли використовувати BadBazaar, щоб отримати журнали викликів із відповідними геолокаційними даними, записувати телефонні дзвінки, робити довільні фотографії або викрадати вибрані файли. Зловмисне програмне забезпечення також може отримати доступ до папок, які зазвичай використовуються для зберігання конфіденційної інформації, як-от зображень, повідомлень програми чату, історії чату тощо.