Spyware para monitorear a los uigures

22. Diciembre 2022
| No hay comentarios
Spyware para campañas de vigilancia contra los uigures

Compartir publicación

Los analistas de seguridad de TI han descubierto dos nuevos programas de spyware de vigilancia dirigidos a los uigures en China continental y en el extranjero.

Una campaña presentó una nueva herramienta de monitoreo de Android que Lookout ha denominado BadBazaar, que comparte infraestructura con otras herramientas dirigidas a uigures descubiertas anteriormente. La otra herramienta utiliza variantes actualizadas de una herramienta previamente publicitada, MOONSHINE, descubierta por Citizen Lab que apuntó a activistas tibetanos en 2019.

Aunque ha habido campañas de vigilancia y detención contra los uigures y otras minorías étnicas turcas durante años, este tema ha recibido una mayor atención internacional después de un informe crítico de la comisionada de derechos humanos de la ONU, Michelle Bachelet, en agosto de 2022. El informe señaló que China puede haber cometido crímenes de lesa humanidad en su trato a los uigures en la región de Xinjiang. El 31 de octubre de 2022, 50 países presentaron una declaración conjunta a la Asamblea General de la ONU expresando su preocupación por las “violaciones en curso de los derechos humanos contra los uigures y otras minorías predominantemente musulmanas en China.

Herramientas de monitoreo móvil

Las herramientas de vigilancia móvil como BadBazaar y MOONSHINE se pueden utilizar para rastrear muchas de las actividades "predelictivas", que son actos que las autoridades de Xinjiang consideran que indican extremismo religioso o separatismo. Las actividades que pueden resultar en que un usuario sea encarcelado incluyen el uso de una VPN, la comunicación con musulmanes practicantes en el extranjero, el uso de aplicaciones religiosas y el uso de ciertas aplicaciones de mensajería como WhatsApp que son populares fuera de China.

BadBazaar y estas nuevas variantes de MOONSHINE se suman a la ya extensa colección de programas de vigilancia únicos utilizados en campañas para monitorear y luego arrestar a personas en China. Su continuo desarrollo y proliferación en las plataformas de medios sociales en idioma uigur indican que estas campañas continúan y que los atacantes se han infiltrado con éxito en las comunidades uigures en línea para propagar su malware.

mal bazar

A fines de 2021, los investigadores de Lookout encontraron un tweet del identificador de Twitter @MalwareHunterTeam que se refería a una aplicación de diccionario inglés-uigur que los empleados de VirusTotal habían marcado como malware. Esto está relacionado con Bahamut, un jugador principalmente activo en el Medio Oriente.

Al analizar esta muestra, quedó claro que este malware está asociado con campañas de vigilancia dirigidas a los uigures y otras minorías étnicas turcas en China y en el extranjero. La superposición de infraestructuras y TTP sugiere que estas campañas están vinculadas a APT15, un grupo de piratería respaldado por China, también conocido como VIXEN PANDA y NICKEL. Lookout nombró a esta familia de malware BadBazaar en respuesta a una variante anterior que se hacía pasar por una tienda de aplicaciones de terceros llamada "APK Bazar". Bazar es una ortografía menos conocida de Bazaar.

El malware se disfraza de aplicaciones de Android

Desde entonces, Lookout ha recopilado 111 muestras únicas del software de monitoreo BadBazaar, desde finales de 2018. Más del 70 por ciento de estas aplicaciones se encontraron en canales de comunicación en idioma uigur en la segunda mitad de 2022. El malware se disfraza principalmente como una variedad de aplicaciones de Android, como B. Administradores de batería, reproductores de video, aplicaciones de radio, aplicaciones de mensajería, diccionarios y aplicaciones religiosas. Los investigadores también han encontrado casos de aplicaciones que pretenden ser una tienda de aplicaciones de terceros inofensiva para los uigures.

La campaña parece estar dirigida principalmente a los uigures en China. Sin embargo, los investigadores encontraron evidencia de un objetivo más amplio de musulmanes y uigures fuera de Xinjiang. Por ejemplo, varias de las muestras que analizamos se hicieron pasar por aplicaciones de mapas para otros países con grandes poblaciones musulmanas, como Turquía o Afganistán. También descubrieron que un pequeño subconjunto de aplicaciones se envió a Google Play Store, lo que sugiere que el atacante estaba interesado en llegar a los usuarios de dispositivos Android fuera de China si era posible. Aparentemente, las aplicaciones discutidas en este artículo nunca se distribuyeron a través de Google Play.

alcance de la vigilancia

BadBazaar parece haber sido desarrollado en un proceso iterativo. Las primeras variantes incluían una carga útil, update.jar, dentro del archivo APK de Android y lo cargaban tan pronto como se iniciaba la aplicación. Este proceso se actualizó posteriormente para producir muestras con capacidades de monitoreo limitadas dentro del propio APK. En cambio, el malware se basa en la capacidad de la aplicación para actualizarse llamando a su servidor C2. Sin embargo, en su versión más reciente, BadBazaar obtiene su carga útil únicamente descargando un archivo del servidor C2 en el puerto 20121 y almacenándolo en el directorio de caché de la aplicación. La herramienta de monitoreo de Android es capaz de recopilar una gran cantidad de datos del dispositivo:

  • Ubicación (latitud y longitud)
  • Lista de paquetes instalados
  • Registros de llamadas y ubicación geocodificada asociada con la llamada
  • La información de contacto
  • Aplicaciones de Android instaladas
  • Información SMS
  • Amplia información del dispositivo que incluye modelo, idioma, IMEI, IMSI, ICCID (número de serie de SIM), número de teléfono, zona horaria y registro centralizado de las cuentas en línea del usuario
  • Información WiFi (conectado o no, y si está conectado, IP, SSID, BSSID, MAC, máscara de red, puerta de enlace, DNS1, DNS2)
  • grabar conversaciones telefonicas
  • tomar fotos
  • Archivos de datos y bases de datos del directorio SharedPreferences de la aplicación troyanizada
  • Obtenga una lista de archivos en el dispositivo que terminan en .ppt, .pptx, .docx, .xls, .xlsx, .doc o .pdf
  • Carpetas de interés especificadas dinámicamente por el servidor C2, incluidas imágenes de la cámara y capturas de pantalla, archivos adjuntos de Telegram, Whatsapp, GBWhatsapp, TalkBox, Zello, registros e historiales de chat.

El cliente de malware

Si bien las variantes anteriores del cliente MOONSHINE intentaron obtener persistencia y acceso a permisos completos explotando otras aplicaciones reemplazando sus bibliotecas nativas, las últimas muestras no solicitan permisos completos del usuario al momento de la instalación ni intentan usar los archivos de la biblioteca nativa en aplicaciones de mensajería. para reemplazar. El parámetro "Puntuación" parece ser una especie de indicador que permite al atacante decidir cómo proceder con el dispositivo de destino.

Después de conectarse al C2, el cliente puede recibir comandos del servidor para realizar una variedad de funciones según la puntuación generada para el dispositivo. El cliente de malware es capaz de:

  • Grabación de llamadas
  • recopilando contactos
  • Recuperar archivos de una ubicación especificada por el C2
  • Recopilación de datos de ubicación del dispositivo
  • Exfiltración de mensajes SMS
  • captura de cámara
  • Grabación desde micrófonos
  • Configuración de un proxy SOCKS
  • Recopilación de datos de WeChat de archivos de base de datos Tencent wcdb

La comunicación se envía a través de un websocket seguro y, además, se cifra antes de la transmisión mediante un método personalizado llamado serialize(), similar al que se utiliza para cifrar el archivo de configuración de SharedPreferences.

Vigilancia de la población uigur

A pesar de la creciente presión internacional, es probable que los actores chinos que actúan en nombre del estado chino continúen difundiendo programas de vigilancia dirigidos a usuarios de dispositivos móviles uigures y musulmanes a través de plataformas de comunicación en idioma uigur. La adopción generalizada de BadBazaar y MOONSHINE y la velocidad a la que se han introducido nuevas funciones sugieren que el desarrollo de estas familias continuará y que existe una demanda continua de estas herramientas.

Los usuarios de dispositivos móviles en estas comunidades deben tener mucho cuidado al distribuir aplicaciones a través de las redes sociales. Los usuarios de dispositivos móviles fuera de China solo deben descargar aplicaciones de las tiendas de aplicaciones oficiales, como Google Play o Apple App Store. Los usuarios de la aplicación de seguridad Lookout están protegidos contra estas amenazas. Si los usuarios creen que son un objetivo de la vigilancia móvil o necesitan más información sobre estas campañas, pueden ver los servicios de inteligencia de amenazas de Lookout o comunicarse con los investigadores de Lookout.

Más en Lookout.com

www.lookout.com

Acerca de Lookout

Los cofundadores de Lookout, John Hering, Kevin Mahaffey y James Burgess, se unieron en 2007 con el objetivo de proteger a las personas de los riesgos de seguridad y privacidad que plantea un mundo cada vez más conectado. Incluso antes de que los teléfonos inteligentes estuvieran en el bolsillo de todos, se dieron cuenta de que la movilidad tendría un profundo impacto en la forma en que trabajamos y vivimos.

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

 

Noticias de prensa
, , , ,