坏巴扎
BadBazaar 是一种以前未知的移动威胁,旨在专门感染 Android 设备。该威胁主要配备间谍软件功能,似乎主要针对中国的少数民族或宗教少数群体。其最突出的目标是位于新疆自治区的维吾尔人。据国际报道,维吾尔少数民族受到了中国政府的极端压迫和潜在的侵犯人权行为。
BadBazaar 威胁最初是由网络安全专家发现的,但其他研究人员在报告中提供了更多细节。根据他们的调查结果,BadBazaar 的运营商使用的基础设施与APT15 (也称为 Ke3chang 和 Pitty Tiger)网络犯罪集团 2020 年针对维吾尔人的攻击活动的一部分相同。通过分析其指挥与控制(C2,C&C)基础设施,专家们能够发现与中国国防承包商西安天河国防科技公司的多个联系。
分发和威胁能力
BadBazaar 移动威胁主要通过武器化应用程序传播。研究人员估计,自 2018 年以来,至少有 111 个威胁应用程序被用于感染维吾尔人目标。这些应用程序来自广泛的类别 - 从电池优化器和视频播放器到宗教应用程序和字典。有害应用程序无法绕过官方 Google Play 商店的安全性,这表明它们主要通过第三方应用程序平台和损坏的网站托管和传播。
一旦在受感染的设备上激活,BadBazaar 将开始收集各种敏感信息并将其传输到其 C2 基础设施。获得的数据包括被破坏设备上安装的所有应用程序的列表、其地理位置、联系人列表、SMS、WiFi 详细信息等。攻击者可以使用 BadBazaar 获取包含相关地理位置数据的通话记录、记录电话、拍摄任意照片或泄露选定的文件。该恶意软件还可以被指示访问通常用于存储高度敏感信息的文件夹,例如图像、聊天应用程序消息、聊天历史记录等。
