Spyware per monitorare gli uiguri

22. Dicembre 2022
| Non ci sono commenti
Spyware per campagne di sorveglianza contro gli uiguri

Condividi post

Gli analisti della sicurezza IT hanno scoperto due nuovi programmi spyware di sorveglianza che prendono di mira gli uiguri nella Cina continentale e all'estero.

Una campagna ha introdotto un nuovo strumento di monitoraggio Android che Lookout ha soprannominato BadBazaar, che condivide l'infrastruttura con altri strumenti mirati agli uiguri scoperti in precedenza. L'altro strumento utilizza varianti aggiornate di uno strumento precedentemente pubblicizzato, MOONSHINE, scoperto da Citizen Lab che ha preso di mira gli attivisti tibetani nel 2019.

Sebbene da anni ci siano campagne di sorveglianza e detenzione contro gli uiguri e altre minoranze etniche turche, questo problema ha ricevuto una maggiore attenzione internazionale dopo un rapporto critico del commissario per i diritti umani delle Nazioni Unite Michelle Bachelet nell'agosto 2022. Il rapporto ha sottolineato che la Cina potrebbe aver commesso crimini contro l'umanità nel trattamento degli uiguri nella regione dello Xinjiang. Il 31 ottobre 2022, 50 paesi hanno presentato una dichiarazione congiunta all'Assemblea generale delle Nazioni Unite esprimendo la loro preoccupazione per le "violazioni dei diritti umani in corso contro gli uiguri e altre minoranze prevalentemente musulmane in Cina.

Strumenti di monitoraggio mobile

Strumenti di sorveglianza mobile come BadBazaar e MOONSHINE possono essere utilizzati per tracciare molte delle attività "pre-criminali", che sono atti che le autorità dello Xinjiang considerano estremismo religioso o separatismo. Le attività che possono comportare l'arresto di un utente includono l'utilizzo di una VPN, la comunicazione con musulmani praticanti all'estero, l'utilizzo di app religiose e l'utilizzo di determinate app di messaggistica come WhatsApp che sono popolari al di fuori della Cina.

BadBazaar e queste nuove varianti di MOONSHINE si aggiungono alla già vasta raccolta di programmi di sorveglianza unici utilizzati nelle campagne per monitorare e quindi arrestare le persone in Cina. Il loro continuo sviluppo e proliferazione sulle piattaforme di social media in lingua uigura indicano che queste campagne continuano e che gli aggressori si sono infiltrati con successo nelle comunità uiguri online per diffondere il loro malware.

BadBazaar

Alla fine del 2021, i ricercatori di Lookout si sono imbattuti in un tweet dall'handle Twitter di @MalwareHunterTeam che faceva riferimento a un'app del dizionario inglese-uiguro che i dipendenti di VirusTotal avevano segnalato come malware. Questo è legato a Bahamut, un giocatore attivo principalmente in Medio Oriente.

Analizzando questo campione, è emerso chiaramente che questo malware è invece associato a campagne di sorveglianza rivolte agli uiguri e ad altre minoranze etniche turche in Cina e all'estero. Infrastrutture sovrapposte e TTP suggeriscono che queste campagne siano collegate ad APT15, un gruppo di hacker sostenuto dalla Cina noto anche come VIXEN PANDA e NICKEL. Lookout ha chiamato questa famiglia di malware BadBazaar in risposta a una prima variante che si presentava come un app store di terze parti chiamato "APK Bazar". Bazar è un'ortografia meno conosciuta di Bazaar.

Il malware si maschera da app Android

Da allora Lookout ha raccolto 111 campioni unici del software di monitoraggio BadBazaar, risalenti alla fine del 2018. Più del 70% di queste app è stato trovato nei canali di comunicazione in lingua uigura nella seconda metà del 2022. Il malware si maschera principalmente come una varietà di app Android, come B. Gestori della batteria, lettori video, app radio, app di messaggistica, dizionari e app religiose. I ricercatori hanno anche trovato casi di app che fingono di essere un innocuo app store di terze parti per gli uiguri.

La campagna sembra essere rivolta principalmente agli uiguri in Cina. Tuttavia, i ricercatori hanno trovato prove di un più ampio targeting di musulmani e uiguri al di fuori dello Xinjiang. Ad esempio, molti dei campioni che abbiamo analizzato si mascheravano come app di mappe per altri paesi con grandi popolazioni musulmane, come la Turchia o l'Afghanistan. Hanno anche scoperto che un piccolo sottoinsieme di app è stato inviato al Google Play Store, suggerendo che l'aggressore fosse interessato a raggiungere gli utenti di dispositivi Android al di fuori della Cina, se possibile. Apparentemente, le app discusse in questo articolo non sono mai state distribuite tramite Google Play.

grado di sorveglianza

BadBazaar sembra essere stato sviluppato in un processo iterativo. Le prime varianti raggruppavano un payload, update.jar, all'interno del file APK di Android e lo caricavano non appena l'app veniva lanciata. Questo processo è stato successivamente aggiornato per produrre campioni con capacità di monitoraggio limitate all'interno dell'APK stesso. Il malware si basa invece sulla capacità dell'app di aggiornarsi chiamando il suo server C2. Tuttavia, nella sua versione più recente, BadBazaar ottiene il suo payload esclusivamente scaricando un file dal server C2 sulla porta 20121 e memorizzandolo nella directory della cache dell'app. Lo strumento di monitoraggio Android è in grado di raccogliere dati estesi sul dispositivo:

  • Posizione (latitudine e longitudine)
  • Elenco dei pacchetti installati
  • Registri delle chiamate e posizione geografica associata alla chiamata
  • informazioni di contatto
  • App Android installate
  • Informazioni SMS
  • Informazioni dettagliate sul dispositivo, tra cui modello, lingua, IMEI, IMSI, ICCID (numero di serie della SIM), numero di telefono, fuso orario e registrazione centralizzata degli account online dell'utente
  • Informazioni WiFi (connesso o meno e, se connesso, IP, SSID, BSSID, MAC, Netmask, Gateway, DNS1, DNS2)
  • registrare conversazioni telefoniche
  • fare foto
  • File di dati e database dalla directory SharedPreferences dell'applicazione trojanizzata
  • Ottieni un elenco di file sul dispositivo che terminano con .ppt, .pptx, .docx, .xls, .xlsx, .doc o .pdf
  • Cartelle di interesse specificate dinamicamente dal server C2, incluse immagini dalla telecamera e screenshot, allegati da Telegram, Whatsapp, GBWhatsapp, TalkBox, Zello, registri e cronologie chat

Il client malware

Mentre le varianti precedenti del client MOONSHINE tentavano di ottenere la persistenza e l'accesso alle autorizzazioni complete sfruttando altre app sostituendo le loro librerie native, gli ultimi esempi non richiedono autorizzazioni complete dall'utente al momento dell'installazione né tentano di utilizzare i file della libreria nativa nella messaggistica -App Rimpiazzare. Il parametro "Punteggio" sembra essere una sorta di indicatore che consente all'attaccante di decidere come procedere con il dispositivo bersaglio.

Dopo essersi connesso al C2, il client può ricevere comandi dal server per eseguire una varietà di funzioni a seconda del punteggio generato per il dispositivo. Il client malware è in grado di:

  • Registrazione delle chiamate
  • raccogliere contatti
  • Recupera i file da una posizione specificata da C2
  • Raccolta dei dati sulla posizione del dispositivo
  • Esfiltrazione di messaggi SMS
  • cattura della fotocamera
  • Registrazione da microfoni
  • Impostazione di un proxy SOCKS
  • Raccolta di dati WeChat dai file del database Tencent wcdb

La comunicazione viene inviata tramite un websocket sicuro ed è inoltre crittografata prima della trasmissione utilizzando un metodo personalizzato chiamato serialize(), simile a quello utilizzato per crittografare il file di configurazione SharedPreferences.

Sorveglianza della popolazione uigura

Nonostante la crescente pressione internazionale, è probabile che gli attori cinesi che agiscono per conto dello Stato cinese continuino a diffondere programmi di sorveglianza rivolti agli utenti di dispositivi mobili uiguri e musulmani tramite piattaforme di comunicazione in lingua uigura. L'ampia adozione di BadBazaar e MOONSHINE e la velocità con cui sono state introdotte nuove funzionalità suggeriscono che lo sviluppo di queste famiglie continuerà e che vi è una continua domanda per questi strumenti.

Gli utenti di dispositivi mobili in queste comunità devono prestare particolare attenzione quando distribuiscono app tramite i social media. Gli utenti di dispositivi mobili al di fuori della Cina devono scaricare app solo da app store ufficiali come Google Play o Apple App Store. Gli utenti dell'app di sicurezza Lookout sono protetti da queste minacce. Se gli utenti ritengono di essere oggetto di sorveglianza mobile o necessitano di maggiori informazioni su queste campagne, possono visualizzare i servizi di Lookout Threat Intelligence o contattare i ricercatori di Lookout.

Altro su Lookout.com

www.lookout.com

A proposito di Lookout

I co-fondatori di Lookout John Hering, Kevin Mahaffey e James Burgess si sono riuniti nel 2007 con l'obiettivo di proteggere le persone dai rischi per la sicurezza e la privacy posti da un mondo sempre più connesso. Ancor prima che gli smartphone fossero nelle tasche di tutti, si sono resi conto che la mobilità avrebbe avuto un profondo impatto sul modo in cui lavoriamo e viviamo.

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

 

Messaggi PR
, , , ,