IT セキュリティ アナリストは、中国本土および海外でウイグル人を標的とする XNUMX つの新しい監視スパイウェア プログラムを発見しました。
あるキャンペーンでは、Lookout が BadBazaar と名付けた新しい Android 監視ツールが導入されました。これは、以前に発見されたウイグル族を標的とした他のツールとインフラストラクチャを共有しています。 もう 2019 つのツールは、XNUMX 年にチベット人活動家を標的としてシチズン ラボが発見した、以前に公開されたツール MOONSHINE の更新された亜種を使用しています。
ウイグル人やその他のトルコ系少数民族に対する監視と拘留のキャンペーンは何年も前から行われてきたが、2022 年 31 月に国連人権委員会のミシェル・バチェレ氏が批判的な報告を行った後、この問題は国際的な注目を集めた. 報告書は、中国が新疆ウイグル自治区でのウイグル族の扱いにおいて人道に対する罪を犯した可能性があることを指摘した。 2022 年 50 月 XNUMX 日、XNUMX か国が国連総会に共同声明を提出し、「中国におけるウイグル人およびその他の主にイスラム教徒の少数派に対する進行中の人権侵害について懸念を表明した。
モバイル監視ツール
BadBazaar や MOONSHINE などのモバイル監視ツールを使用して、新疆当局が宗教的過激主義または分離主義を示すと見なす行為である「前犯罪」活動の多くを追跡することができます。 ユーザーが投獄される可能性がある活動には、VPN の使用、海外でイスラム教徒を実践する人との通信、宗教アプリの使用、中国以外で人気のある WhatsApp などの特定のメッセージング アプリの使用が含まれます。
BadBazaar と MOONSHINE のこれらの新しい亜種は、中国の人々を監視して逮捕するキャンペーンで使用される独自の監視プログラムの膨大なコレクションに追加されます。 ウイグル語のソーシャル メディア プラットフォームでの継続的な開発と増殖は、これらのキャンペーンが進行中であり、攻撃者がオンラインのウイグル コミュニティに侵入してマルウェアを拡散することに成功したことを示しています。
バッドバザール
2021 年後半、Lookout の研究者は、@MalwareHunterTeam の Twitter ハンドルから、VirusTotal の従業員がマルウェアとしてフラグを立てた英語-ウイグル語辞書アプリに言及したツイートを見つけました。 これは、主に中東で活躍するプレイヤー、バハムートとリンクしています。
このサンプルを分析したところ、このマルウェアは、中国および海外でウイグル族やその他のトルコ系少数民族を対象とした監視キャンペーンに関連していることが明らかになりました。 重複するインフラストラクチャと TTP は、これらのキャンペーンが VIXEN PANDA および NICKEL としても知られる中国が支援するハッキング グループである APT15 に関連していることを示唆しています。 Lookout は、「APK Bazar」と呼ばれるサードパーティのアプリ ストアを装った初期の亜種に対応して、このマルウェア ファミリを BadBazaar と名付けました。 Bazar は Bazaar のあまり知られていないスペルです。
マルウェアは Android アプリに偽装します
Lookout はそれ以来、111 年後半にさかのぼる BadBazaar 監視ソフトウェアの 2018 のユニークなサンプルを収集しました。 これらのアプリの 70% 以上が、2022 年後半にウイグル語のコミュニケーション チャネルで発見されました。 このマルウェアは主に、次のようなさまざまな Android アプリに偽装します。 B. バッテリー マネージャー、ビデオ プレーヤー、ラジオ アプリ、メッセージ アプリ、辞書、宗教アプリ。 研究者は、アプリがウイグル人向けの無害なサードパーティのアプリ ストアを装っているケースも発見しました。
このキャンペーンは、主に中国のウイグル人を対象としているようです。 しかし、研究者たちは、新疆以外のイスラム教徒とウイグル人をより広く標的にしている証拠を発見した. たとえば、分析したサンプルのいくつかは、トルコやアフガニスタンなど、イスラム教徒の人口が多い他の国の地図アプリを装っていました。 また、アプリの小さなサブセットが Google Play ストアに送信されていることもわかりました。これは、攻撃者が可能であれば中国国外の Android デバイス ユーザーにリーチすることに関心があることを示唆しています。 どうやら、この記事で取り上げたアプリは、Google Play を通じて配布されたことはありません。
監視の程度
BadBazaar は反復プロセスで開発されたようです。 初期の亜種は、ペイロード update.jar を Android APK ファイル内にバンドルし、アプリが起動されるとすぐにロードしました。 このプロセスは後に更新され、APK 自体の監視機能が制限されたサンプルが生成されました。 代わりに、マルウェアは、C2 サーバーを呼び出して自身を更新するアプリの機能に依存しています。 ただし、最新バージョンの BadBazaar は、ポート 2 で C20121 サーバーからファイルをダウンロードし、それをアプリのキャッシュ ディレクトリに保存することによってのみペイロードを取得します。 Android 監視ツールは、広範なデバイス データを収集できます。
- 場所(緯度と経度)
- インストール済みパッケージ一覧
- 通話ログと通話に関連付けられた地理コード化された場所
- 連絡先情報
- インストール済みの Android アプリ
- SMS情報
- モデル、言語、IMEI、IMSI、ICCID (SIM シリアル番号)、電話番号、タイム ゾーン、ユーザーのオンライン アカウントの集中登録など、広範なデバイス情報
- WiFi 情報 (接続されているかどうか、および接続されている場合は、IP、SSID、BSSID、MAC、ネットマスク、ゲートウェイ、DNS1、DNS2)
- 電話での会話を録音する
- 写真を撮る
- トロイの木馬化されたアプリケーションの SharedPreferences ディレクトリのデータおよびデータベース ファイル
- .ppt、.pptx、.docx、.xls、.xlsx、.doc、または .pdf で終わるデバイス上のファイルのリストを取得します
- カメラやスクリーンショットからの画像、Telegram、Whatsapp、GBWhatsapp、TalkBox、Zello からの添付ファイル、ログ、チャット履歴など、C2 サーバーによって動的に指定された関心のあるフォルダ
マルウェア クライアント
MOONSHINE クライアントの以前の亜種は、ネイティブ ライブラリを置き換えることで他のアプリを悪用して永続性と完全な権限へのアクセスを取得しようとしましたが、最新のサンプルは、インストール時にユーザーに完全な権限を要求することも、メッセージングでネイティブ ライブラリ ファイルを使用しようとすることもありません。交換する。 「スコア」パラメータは、攻撃者がターゲット デバイスの処理方法を決定できるようにする何らかの指標のようです。
C2 に接続した後、クライアントはサーバーからコマンドを受信して、デバイス用に生成されたスコアに応じてさまざまな機能を実行できます。 マルウェア クライアントには次の機能があります。
- 通話の録音
- 連絡先の収集
- C2によって指定された場所からファイルを取得します
- デバイスの位置データの収集
- SMS メッセージの流出
- カメラキャプチャ
- マイクからの録音
- SOCKS プロキシの設定
- Tencent wcdb データベース ファイルからの WeChat データの収集
通信は安全な Websocket を介して送信され、さらに、SharedPreferences 構成ファイルの暗号化に使用されるものと同様に、serialize() と呼ばれるカスタム メソッドを使用して送信前に暗号化されます。
ウイグル人の監視
国際的な圧力が高まっているにもかかわらず、中国国家に代わって行動する中国のアクターは、ウイグル語の通信プラットフォームを介して、ウイグル人およびイスラム教徒のモバイル デバイス ユーザーを対象とした監視プログラムを配信し続ける可能性があります。 BadBazaar と MOONSHINE が広く採用されていること、および新機能が導入される速度が速いことは、これらのファミリの開発が継続し、これらのツールに対する需要が継続していることを示唆しています。
これらのコミュニティのモバイル デバイス ユーザーは、ソーシャル メディアを通じてアプリを配布する際に特に注意する必要があります。 中国以外のモバイル デバイス ユーザーは、Google Play や Apple App Store などの公式アプリ ストアからのみアプリをダウンロードする必要があります。 Lookout セキュリティ アプリのユーザーは、これらの脅威から保護されます。 ユーザーがモバイル監視のターゲットであると考えている場合、またはこれらのキャンペーンに関する詳細情報が必要な場合は、Lookout Threat Intelligence サービスを表示するか、Lookout の研究者に連絡することができます。
詳しくは Lookout.com をご覧くださいwww.lookout.com
ルックアウトについて Lookout の共同設立者である John Hering、Kevin Mahaffey、および James Burgess は、ますます接続された世界がもたらすセキュリティとプライバシーのリスクから人々を保護することを目標に、2007 年に集まりました。 スマートフォンが誰もがポケットに入れる前から、モビリティが私たちの働き方や生活に大きな影響を与えることに気づいていました。
トピックに関連する記事