आईटी सुरक्षा विश्लेषकों ने मुख्य भूमि चीन और विदेशों में उइगरों को लक्षित करने वाले दो नए निगरानी स्पाइवेयर कार्यक्रमों का पर्दाफाश किया है।
एक अभियान ने एक नया एंड्रॉइड मॉनिटरिंग टूल पेश किया, जिसे लुकआउट ने बैडबाजार करार दिया है, जो पहले खोजे गए उइघुर-लक्षित टूल के साथ बुनियादी ढांचे को साझा करता है। अन्य टूल पहले से प्रचारित टूल मूनशाइन के अपडेटेड वेरिएंट का उपयोग करता है, जिसे सिटीजन लैब द्वारा खोजा गया था जिसने 2019 में तिब्बती कार्यकर्ताओं को लक्षित किया था।
हालांकि वर्षों से उइगर और अन्य तुर्की जातीय अल्पसंख्यकों के खिलाफ निगरानी और नजरबंदी अभियान चलाए जा रहे हैं, लेकिन अगस्त 2022 में संयुक्त राष्ट्र मानवाधिकार आयुक्त मिशेल बाचेलेट की एक महत्वपूर्ण रिपोर्ट के बाद इस मुद्दे पर अंतर्राष्ट्रीय ध्यान बढ़ा है। रिपोर्ट में बताया गया है कि चीन ने शिनजियांग क्षेत्र में उइगरों के इलाज में मानवता के खिलाफ अपराध किए होंगे। 31 अक्टूबर, 2022 को, 50 देशों ने संयुक्त राष्ट्र महासभा को एक संयुक्त बयान प्रस्तुत किया जिसमें "उइगरों और चीन में मुख्य रूप से मुस्लिम अल्पसंख्यकों के खिलाफ चल रहे मानवाधिकारों के उल्लंघन के बारे में चिंता व्यक्त की गई।
मोबाइल निगरानी उपकरण
BadBazaar और MOONSHINE जैसे मोबाइल निगरानी उपकरणों का उपयोग "पूर्व-आपराधिक" गतिविधियों में से कई का पता लगाने के लिए किया जा सकता है, जो ऐसे कार्य हैं जिन्हें झिंजियांग अधिकारी धार्मिक अतिवाद या अलगाववाद का संकेत मानते हैं। जिन गतिविधियों के परिणामस्वरूप उपयोगकर्ता को जेल हो सकती है, उनमें वीपीएन का उपयोग करना, विदेश में अभ्यास करने वाले मुसलमानों के साथ संवाद करना, धार्मिक ऐप का उपयोग करना और व्हाट्सएप जैसे कुछ मैसेजिंग ऐप का उपयोग करना शामिल है जो चीन के बाहर लोकप्रिय हैं।
BadBazaar और MOONSHINE के ये नए संस्करण चीन में लोगों की निगरानी और फिर उन्हें गिरफ्तार करने के अभियानों में उपयोग किए जाने वाले अद्वितीय निगरानी कार्यक्रमों के पहले से ही व्यापक संग्रह में शामिल हैं। उइघुर भाषा के सोशल मीडिया प्लेटफॉर्म पर उनके निरंतर विकास और प्रसार से संकेत मिलता है कि ये अभियान चल रहे हैं और हमलावरों ने अपने मैलवेयर फैलाने के लिए ऑनलाइन उइघुर समुदायों में सफलतापूर्वक घुसपैठ की है।
बडबाजार
2021 के अंत में, लुकआउट शोधकर्ताओं को @MalwareHunterTeam ट्विटर हैंडल से एक ट्वीट मिला, जिसमें अंग्रेजी-उईघुर डिक्शनरी ऐप का जिक्र था जिसे VirusTotal कर्मचारियों ने मैलवेयर के रूप में फ़्लैग किया था। यह मध्य पूर्व में मुख्य रूप से सक्रिय एक खिलाड़ी बहमुत से जुड़ा हुआ है।
इस नमूने का विश्लेषण करने पर, यह स्पष्ट हो गया कि यह मैलवेयर चीन और विदेशों में उइगर और अन्य तुर्की जातीय अल्पसंख्यकों को लक्षित करने वाले निगरानी अभियानों से जुड़ा है। ओवरलैपिंग इन्फ्रास्ट्रक्चर और टीटीपी का सुझाव है कि ये अभियान APT15 से जुड़े हैं, एक चीन समर्थित हैकिंग समूह जिसे VIXEN PANDA और NICKEL के नाम से भी जाना जाता है। लुकआउट ने इस मैलवेयर परिवार का नाम BadBazaar रखा है, जो "APK Bazar" नामक एक तृतीय-पक्ष ऐप स्टोर के रूप में प्रस्तुत करने वाले प्रारंभिक संस्करण के जवाब में है। बाज़ार बाज़ार की एक कम ज्ञात वर्तनी है।
मैलवेयर खुद को Android ऐप्स के रूप में प्रदर्शित करता है
लुकआउट ने बाद में 111 के अंत तक बैडबाजार निगरानी सॉफ्टवेयर के 2018 अद्वितीय नमूने एकत्र किए हैं। इनमें से 70 प्रतिशत से अधिक ऐप 2022 की दूसरी छमाही में उइघुर-भाषा संचार चैनलों में पाए गए। मैलवेयर मुख्य रूप से विभिन्न प्रकार के Android ऐप्स के रूप में स्वयं को प्रच्छन्न करता है, जैसे कि B. बैटरी मैनेजर, वीडियो प्लेयर, रेडियो ऐप, मैसेजिंग ऐप, डिक्शनरी और धार्मिक ऐप। शोधकर्ताओं ने उइगरों के लिए हानिरहित तृतीय-पक्ष ऐप स्टोर होने का नाटक करने वाले ऐप्स के मामले भी पाए हैं।
अभियान मुख्य रूप से चीन में उइगरों के उद्देश्य से प्रतीत होता है। हालांकि, शोधकर्ताओं को झिंजियांग के बाहर मुसलमानों और उइगरों के व्यापक लक्ष्यीकरण का प्रमाण मिला। उदाहरण के लिए, हमने जिन नमूनों का विश्लेषण किया, उनमें से कई ने बड़ी मुस्लिम आबादी वाले अन्य देशों, जैसे कि तुर्की या अफगानिस्तान के मानचित्र ऐप के रूप में स्वांग रचा। उन्होंने यह भी पाया कि ऐप्स का एक छोटा सा उपसमुच्चय Google Play Store पर सबमिट किया गया था, जिससे यह संकेत मिलता है कि यदि संभव हो तो हमलावर चीन के बाहर Android डिवाइस उपयोगकर्ताओं तक पहुंचने में रुचि रखता था। जाहिर है, इस लेख में जिन ऐप्स की चर्चा की गई है, उन्हें कभी भी Google Play के माध्यम से वितरित नहीं किया गया था।
निगरानी की हद
ऐसा लगता है कि BadBazaar एक पुनरावृत्त प्रक्रिया में विकसित किया गया है। शुरुआती वेरिएंट ने एंड्रॉइड एपीके फ़ाइल के अंदर एक पेलोड, अपडेट.जार को बंडल किया और ऐप लॉन्च होते ही इसे लोड कर दिया। इस प्रक्रिया को बाद में एपीके के भीतर सीमित निगरानी क्षमताओं वाले नमूने तैयार करने के लिए अद्यतन किया गया था। इसके बजाय मैलवेयर ऐप के C2 सर्वर को कॉल करके खुद को अपडेट करने की ऐप की क्षमता पर निर्भर करता है। हालाँकि, अपने सबसे हाल के संस्करण में, बैडबाजार अपना पेलोड पूरी तरह से C2 सर्वर से पोर्ट 20121 पर एक फ़ाइल डाउनलोड करके और इसे ऐप की कैश डायरेक्टरी में स्टोर करके प्राप्त करता है। एंड्रॉइड मॉनिटरिंग टूल व्यापक डिवाइस डेटा एकत्र करने में सक्षम है:
- स्थान (अक्षांश और देशांतर)
- स्थापित पैकेजों की सूची
- कॉल लॉग और कॉल से जुड़े जियो-कोडेड स्थान
- संपर्क जानकारी
- इंस्टॉल किए गए एंड्रॉइड ऐप्स
- एसएमएस की जानकारी
- मॉडल, भाषा, आईएमईआई, आईएमएसआई, आईसीसीआईडी (सिम सीरियल नंबर), फोन नंबर, समय क्षेत्र और उपयोगकर्ता के ऑनलाइन खातों के केंद्रीकृत पंजीकरण सहित व्यापक डिवाइस जानकारी
- वाईफाई सूचना (जुड़ा है या नहीं, और अगर जुड़ा हुआ है, आईपी, एसएसआईडी, बीएसएसआईडी, मैक, नेटमास्क, गेटवे, डीएनएस1, डीएनएस2)
- रिकॉर्ड टेलीफोन वार्तालाप
- बिल्डर औफनेहमेन
- ट्रोजनीकृत अनुप्रयोग की SharedPreferences निर्देशिका से डेटा और डेटाबेस फ़ाइलें
- डिवाइस पर उन फ़ाइलों की सूची प्राप्त करें जो .ppt, .pptx, .docx, .xls, .xlsx, .doc, या .pdf से समाप्त होती हैं
- C2 सर्वर द्वारा गतिशील रूप से निर्दिष्ट रुचि के फ़ोल्डर, जिसमें कैमरा और स्क्रीनशॉट से चित्र, टेलीग्राम, व्हाट्सएप, GBWhatsapp, TalkBox, Zello, लॉग और चैट इतिहास से संलग्नक शामिल हैं।
मालवेयर क्लाइंट
जबकि MOONSHINE क्लाइंट के पिछले संस्करणों ने अपने मूल पुस्तकालयों को बदलकर अन्य ऐप्स का शोषण करके दृढ़ता और पूर्ण अनुमतियों तक पहुंच प्राप्त करने का प्रयास किया, नवीनतम नमूने न तो स्थापना पर उपयोगकर्ता से पूर्ण अनुमतियों का अनुरोध करते हैं और न ही मैसेजिंग -ऐप्स में मूल लाइब्रेरी फ़ाइलों का उपयोग करने का प्रयास करते हैं। बदलने के लिए। "स्कोर" पैरामीटर किसी प्रकार का संकेतक प्रतीत होता है जो हमलावर को यह तय करने की अनुमति देता है कि लक्ष्य डिवाइस के साथ कैसे आगे बढ़ना है।
C2 से जुड़ने के बाद, क्लाइंट डिवाइस के लिए उत्पन्न स्कोर के आधार पर विभिन्न प्रकार के कार्य करने के लिए सर्वर से कमांड प्राप्त कर सकता है। मैलवेयर क्लाइंट इसके लिए सक्षम है:
- कॉल की रिकॉर्डिंग
- संपर्क एकत्रित करना
- C2 द्वारा निर्दिष्ट स्थान से फ़ाइलें पुनर्प्राप्त करें
- उपकरण स्थान डेटा एकत्रित करना
- एसएमएस संदेश एक्सफिल्ट्रेशन
- कैमरा कैप्चर
- माइक्रोफोन से रिकॉर्डिंग
- सॉक्स प्रॉक्सी की स्थापना
- Tencent wcdb डेटाबेस फ़ाइलों से WeChat डेटा एकत्रित करना
संचार एक सुरक्षित वेबसोकेट पर भेजा जाता है और प्रसारण से पहले सीरियलाइज़ () नामक एक कस्टम विधि का उपयोग करके अतिरिक्त रूप से एन्क्रिप्ट किया जाता है, जैसा कि SharedPreferences कॉन्फ़िगरेशन फ़ाइल को एन्क्रिप्ट करने के लिए उपयोग किया जाता है।
उइघुर आबादी की निगरानी
बढ़ते अंतरराष्ट्रीय दबाव के बावजूद, चीनी राज्य की ओर से काम करने वाले चीनी अभिनेताओं के उइघुर-भाषा संचार प्लेटफार्मों के माध्यम से उइगर और मुस्लिम मोबाइल डिवाइस उपयोगकर्ताओं को लक्षित निगरानी कार्यक्रमों का प्रसार जारी रखने की संभावना है। बडबाजार और मूनशाइन को व्यापक रूप से अपनाया जाना और जिस गति से नई सुविधाओं को पेश किया गया है, वह सुझाव देता है कि इन परिवारों का विकास जारी रहेगा और इन उपकरणों की निरंतर मांग है।
सोशल मीडिया के माध्यम से ऐप्स वितरित करते समय इन समुदायों में मोबाइल डिवाइस उपयोगकर्ताओं को अतिरिक्त सावधान रहने की आवश्यकता है। चीन के बाहर के मोबाइल डिवाइस उपयोगकर्ताओं को केवल आधिकारिक ऐप स्टोर जैसे कि Google Play या Apple ऐप स्टोर से ऐप डाउनलोड करने चाहिए। लुकआउट सिक्योरिटी ऐप के यूजर्स इन खतरों से सुरक्षित रहते हैं। यदि उपयोगकर्ताओं को लगता है कि वे मोबाइल निगरानी का लक्ष्य हैं या उन्हें इन अभियानों के बारे में अधिक जानकारी चाहिए, तो वे लुकआउट थ्रेट इंटेलिजेंस सेवाओं को देख सकते हैं या लुकआउट शोधकर्ताओं से संपर्क कर सकते हैं।
लुकआउट डॉट कॉम पर अधिकwww.lookout.com
लुकआउट के बारे में लुकआउट के सह-संस्थापक जॉन हेरिंग, केविन महाफ़ी और जेम्स बर्गेस 2007 में तेजी से जुड़ी हुई दुनिया द्वारा उत्पन्न सुरक्षा और गोपनीयता जोखिमों से लोगों की रक्षा करने के लक्ष्य के साथ एक साथ आए। स्मार्टफोन हर किसी की जेब में होने से पहले ही, उन्होंने महसूस किया कि गतिशीलता का हमारे काम करने और जीने के तरीके पर गहरा प्रभाव पड़ेगा।
विषय से संबंधित लेख