Les analystes de la sécurité informatique ont découvert deux nouveaux programmes de logiciels espions de surveillance ciblant les Ouïghours en Chine continentale et à l'étranger.
Une campagne a introduit un nouvel outil de surveillance Android que Lookout a surnommé BadBazaar, qui partage l'infrastructure avec d'autres outils ciblés ouïghours découverts précédemment. L'autre outil utilise des variantes mises à jour d'un outil précédemment rendu public, MOONSHINE, découvert par Citizen Lab qui ciblait les militants tibétains en 2019.
Bien qu'il y ait eu des campagnes de surveillance et de détention contre les Ouïghours et d'autres minorités ethniques turques pendant des années, cette question a reçu une attention internationale accrue après un rapport critique de la commissaire aux droits de l'homme des Nations Unies Michelle Bachelet en août 2022. Le rapport a souligné que la Chine pourrait avoir commis des crimes contre l'humanité dans son traitement des Ouïghours dans la région du Xinjiang. Le 31 octobre 2022, 50 pays ont soumis une déclaration commune à l'Assemblée générale des Nations Unies exprimant leur inquiétude face aux « violations continues des droits de l'homme contre les Ouïghours et d'autres minorités à prédominance musulmane en Chine.
Outils de surveillance mobiles
Des outils de surveillance mobiles tels que BadBazaar et MOONSHINE peuvent être utilisés pour retracer de nombreuses activités «pré-criminelles», qui sont des actes que les autorités du Xinjiang considèrent comme indiquant l'extrémisme religieux ou le séparatisme. Les activités pouvant entraîner l'emprisonnement d'un utilisateur incluent l'utilisation d'un VPN, la communication avec des musulmans pratiquants à l'étranger, l'utilisation d'applications religieuses et l'utilisation de certaines applications de messagerie comme WhatsApp qui sont populaires en dehors de la Chine.
BadBazaar et ces nouvelles variantes de MOONSHINE s'ajoutent à la collection déjà étendue de programmes de surveillance uniques utilisés dans les campagnes pour surveiller puis arrêter des personnes en Chine. Leur développement et leur prolifération continus sur les plateformes de médias sociaux en langue ouïghoure indiquent que ces campagnes se poursuivent et que les attaquants ont réussi à infiltrer les communautés ouïghoures en ligne pour diffuser leurs logiciels malveillants.
BadBazar
Fin 2021, les chercheurs de Lookout sont tombés sur un tweet du compte Twitter @MalwareHunterTeam qui faisait référence à une application de dictionnaire anglais-ouïghour que les employés de VirusTotal avaient signalée comme un logiciel malveillant. Celui-ci est lié à Bahamut, un acteur principalement actif au Moyen-Orient.
En analysant cet échantillon, il est apparu clairement que ce logiciel malveillant était plutôt associé à des campagnes de surveillance ciblant les Ouïghours et d'autres minorités ethniques turques en Chine et à l'étranger. Le chevauchement des infrastructures et des TTP suggère que ces campagnes sont liées à APT15, un groupe de piratage soutenu par la Chine également connu sous le nom de VIXEN PANDA et NICKEL. Lookout a nommé cette famille de logiciels malveillants BadBazaar en réponse à une première variante se faisant passer pour un magasin d'applications tiers appelé "APK Bazar". Bazar est une orthographe moins connue de Bazaar.
Le malware se déguise en applications Android
Lookout a depuis collecté 111 échantillons uniques du logiciel de surveillance BadBazaar, datant de fin 2018. Plus de 70% de ces applications ont été trouvées dans les canaux de communication en langue ouïghoure au cours du second semestre 2022. Le malware se déguise principalement en une variété d'applications Android, telles que B. Gestionnaires de batterie, lecteurs vidéo, applications radio, applications de messagerie, dictionnaires et applications religieuses. Les chercheurs ont également découvert des cas d'applications prétendant être un magasin d'applications tiers inoffensif pour les Ouïghours.
La campagne semble viser principalement les Ouïghours en Chine. Cependant, les chercheurs ont trouvé des preuves d'un ciblage plus large des musulmans et des Ouïghours en dehors du Xinjiang. Par exemple, plusieurs des échantillons que nous avons analysés se sont fait passer pour des applications cartographiques pour d'autres pays à forte population musulmane, comme la Turquie ou l'Afghanistan. Ils ont également découvert qu'un petit sous-ensemble d'applications avait été soumis au Google Play Store, suggérant que l'attaquant était intéressé à atteindre si possible les utilisateurs d'appareils Android en dehors de la Chine. Apparemment, les applications décrites dans cet article n'ont jamais été distribuées via Google Play.
étendue de la surveillance
BadBazaar semble avoir été développé dans un processus itératif. Les premières variantes regroupaient une charge utile, update.jar, dans le fichier APK d'Android et la chargeaient dès le lancement de l'application. Ce processus a ensuite été mis à jour pour produire des échantillons avec des capacités de surveillance limitées dans l'APK lui-même. Le logiciel malveillant s'appuie plutôt sur la capacité de l'application à se mettre à jour en appelant son serveur C2. Cependant, dans sa version la plus récente, BadBazaar obtient sa charge utile uniquement en téléchargeant un fichier du serveur C2 sur le port 20121 et en le stockant dans le répertoire de cache de l'application. L'outil de surveillance Android est capable de collecter des données étendues sur l'appareil :
- Emplacement (latitude et longitude)
- Liste des packages installés
- Journaux d'appels et emplacement géocodé associés à l'appel
- nous écrire
- Applications Android installées
- Informations SMS
- Informations détaillées sur l'appareil, y compris le modèle, la langue, l'IMEI, l'IMSI, l'ICCID (numéro de série SIM), le numéro de téléphone, le fuseau horaire et l'enregistrement centralisé des comptes en ligne de l'utilisateur
- Informations WiFi (connecté ou non, et si connecté, IP, SSID, BSSID, MAC, Netmask, Gateway, DNS1, DNS2)
- enregistrer des conversations téléphoniques
- prendre des photos
- Fichiers de données et de base de données du répertoire SharedPreferences de l'application cheval de Troie
- Obtenir une liste des fichiers sur l'appareil qui se terminent par .ppt, .pptx, .docx, .xls, .xlsx, .doc ou .pdf
- Dossiers d'intérêt spécifiés dynamiquement par le serveur C2, y compris les images de la caméra et les captures d'écran, les pièces jointes de Telegram, Whatsapp, GBWhatsapp, TalkBox, Zello, les journaux et les historiques de chat
Le client malveillant
Alors que les variantes précédentes du client MOONSHINE tentaient d'obtenir la persistance et l'accès aux autorisations complètes en exploitant d'autres applications en remplaçant leurs bibliothèques natives, les derniers exemples ne demandent pas d'autorisations complètes à l'utilisateur lors de l'installation ni ne tentent d'utiliser les fichiers de bibliothèque natifs dans la messagerie -Apps remplacer. Le paramètre "Score" semble être une sorte d'indicateur qui permet à l'attaquant de décider comment procéder avec l'appareil cible.
Après s'être connecté au C2, le client peut recevoir des commandes du serveur pour exécuter diverses fonctions en fonction du score généré pour l'appareil. Le client malveillant est capable de :
- Enregistrement des appels
- collecte de contacts
- Récupérer des fichiers à partir d'un emplacement spécifié par le C2
- Collecte des données de localisation de l'appareil
- Exfiltration de SMS
- capture de caméra
- Enregistrement à partir de microphones
- Configurer un proxy SOCKS
- Collecte de données WeChat à partir des fichiers de base de données Tencent wcdb
La communication est envoyée via un socket Web sécurisé et est en outre chiffrée avant la transmission à l'aide d'une méthode personnalisée appelée serialize(), similaire à celle utilisée pour chiffrer le fichier de configuration SharedPreferences.
Surveillance de la population ouïghoure
Malgré une pression internationale croissante, les acteurs chinois agissant au nom de l'État chinois continueront probablement à diffuser des programmes de surveillance ciblant les utilisateurs d'appareils mobiles ouïghours et musulmans via des plateformes de communication en langue ouïghoure. L'adoption généralisée de BadBazaar et de MOONSHINE et la vitesse à laquelle de nouvelles fonctionnalités ont été introduites suggèrent que le développement de ces familles va se poursuivre et qu'il existe une demande continue pour ces outils.
Les utilisateurs d'appareils mobiles de ces communautés doivent redoubler de prudence lorsqu'ils distribuent des applications via les réseaux sociaux. Les utilisateurs d'appareils mobiles en dehors de la Chine ne doivent télécharger que des applications à partir de magasins d'applications officiels tels que Google Play ou Apple App Store. Les utilisateurs de l'application de sécurité Lookout sont protégés contre ces menaces. Si les utilisateurs pensent qu'ils sont la cible d'une surveillance mobile ou ont besoin de plus d'informations sur ces campagnes, ils peuvent consulter les services Lookout Threat Intelligence ou contacter les chercheurs de Lookout.
Plus sur Lookout.comwww.lookout.com
À propos de Lookout Les cofondateurs de Lookout, John Hering, Kevin Mahaffey et James Burgess, se sont réunis en 2007 dans le but de protéger les personnes contre les risques de sécurité et de confidentialité posés par un monde de plus en plus connecté. Avant même que les smartphones ne soient dans la poche de tout le monde, ils se sont rendus compte que la mobilité aurait un impact profond sur notre façon de travailler et de vivre.
Articles liés au sujet