Spyware para monitorar uigures

22. Dezembro 2022
| Sem comentários
Spyware para campanhas de vigilância contra uigures

Compartilhar postagem

Analistas de segurança de TI descobriram dois novos programas de spyware de vigilância direcionados aos uigures na China continental e no exterior.

Uma campanha introduziu uma nova ferramenta de monitoramento do Android que a Lookout apelidou de BadBazaar, que compartilha a infraestrutura com outras ferramentas direcionadas aos uigures descobertas anteriormente. A outra ferramenta usa variantes atualizadas de uma ferramenta divulgada anteriormente, MOONSHINE, descoberta pelo Citizen Lab que visava ativistas tibetanos em 2019.

Embora haja campanhas de vigilância e detenção contra uigures e outras minorias étnicas turcas há anos, essa questão recebeu maior atenção internacional após um relatório crítico da Comissária de Direitos Humanos da ONU, Michelle Bachelet, em agosto de 2022. O relatório apontou que a China pode ter cometido crimes contra a humanidade ao tratar os uigures na região de Xinjiang. Em 31 de outubro de 2022, 50 países enviaram uma declaração conjunta à Assembleia Geral da ONU expressando sua preocupação com as “violações contínuas dos direitos humanos contra uigures e outras minorias predominantemente muçulmanas na China.

Ferramentas de monitoramento móvel

Ferramentas de vigilância móvel, como BadBazaar e MOONSHINE, podem ser usadas para rastrear muitas das atividades “pré-criminosas”, que são atos que as autoridades de Xinjiang consideram indicar extremismo religioso ou separatismo. As atividades que podem resultar na prisão de um usuário incluem o uso de uma VPN, a comunicação com muçulmanos praticantes no exterior, o uso de aplicativos religiosos e o uso de determinados aplicativos de mensagens, como o WhatsApp, populares fora da China.

O BadBazaar e essas novas variantes do MOONSHINE se somam à já extensa coleção de programas de vigilância exclusivos usados ​​em campanhas para monitorar e depois prender pessoas na China. Seu desenvolvimento e proliferação contínuos em plataformas de mídia social em língua uigur indicam que essas campanhas estão em andamento e que os invasores se infiltraram com sucesso nas comunidades uigures online para espalhar seu malware.

BadBazar

No final de 2021, os pesquisadores da Lookout encontraram um tweet do identificador do Twitter @MalwareHunterTeam que se referia a um aplicativo de dicionário inglês-uigur que os funcionários do VirusTotal sinalizaram como malware. Isso está ligado a Bahamut, um jogador ativo principalmente no Oriente Médio.

Analisando essa amostra, ficou claro que esse malware está associado a campanhas de vigilância direcionadas a uigures e outras minorias étnicas turcas na China e no exterior. Infraestruturas sobrepostas e TTPs sugerem que essas campanhas estão vinculadas ao APT15, um grupo de hackers apoiado pela China também conhecido como VIXEN PANDA e NICKEL. A Lookout chamou essa família de malware de BadBazaar em resposta a uma variante inicial que se apresentava como uma loja de aplicativos de terceiros chamada "APK Bazar". Bazar é uma grafia menos conhecida de Bazaar.

O malware se disfarça como aplicativos Android

Desde então, a Lookout coletou 111 amostras exclusivas do software de monitoramento BadBazaar, desde o final de 2018. Mais de 70% desses aplicativos foram encontrados em canais de comunicação em língua uigur no segundo semestre de 2022. O malware se disfarça principalmente como uma variedade de aplicativos Android, como B. Gerenciadores de bateria, players de vídeo, aplicativos de rádio, aplicativos de mensagens, dicionários e aplicativos religiosos. Os pesquisadores também encontraram casos de aplicativos que fingem ser uma loja de aplicativos de terceiros inofensiva para uigures.

A campanha parece ter como alvo principal os uigures na China. No entanto, os pesquisadores encontraram evidências de um alvo mais amplo de muçulmanos e uigures fora de Xinjiang. Por exemplo, várias das amostras que analisamos mascaradas como aplicativos de mapas para outros países com grandes populações muçulmanas, como a Turquia ou o Afeganistão. Eles também descobriram que um pequeno subconjunto de aplicativos foi enviado para a Google Play Store, sugerindo que o invasor estava interessado em alcançar usuários de dispositivos Android fora da China, se possível. Aparentemente, os aplicativos discutidos neste artigo nunca foram distribuídos pelo Google Play.

extensão da vigilância

BadBazaar parece ter sido desenvolvido em um processo iterativo. As primeiras variantes agrupavam uma carga útil, update.jar, dentro do arquivo APK do Android e o carregavam assim que o aplicativo era iniciado. Esse processo foi atualizado posteriormente para produzir amostras com recursos de monitoramento limitados no próprio APK. Em vez disso, o malware depende da capacidade do aplicativo de se atualizar chamando seu servidor C2. No entanto, em sua versão mais recente, o BadBazaar obtém sua carga útil apenas baixando um arquivo do servidor C2 na porta 20121 e armazenando-o no diretório de cache do aplicativo. A ferramenta de monitoramento do Android é capaz de coletar dados extensos do dispositivo:

  • Localização (latitude e longitude)
  • Lista de pacotes instalados
  • Registros de chamadas e localização com código geográfico associados à chamada
  • informações de contato
  • Aplicativos Android instalados
  • informações SMS
  • Extensas informações do dispositivo, incluindo modelo, idioma, IMEI, IMSI, ICCID (número de série do SIM), número de telefone, fuso horário e registro centralizado das contas online do usuário
  • Informação WiFi (conectado ou não, e se conectado, IP, SSID, BSSID, MAC, Netmask, Gateway, DNS1, DNS2)
  • gravar conversas telefônicas
  • Fotos aufnehmen
  • Dados e arquivos de banco de dados do diretório SharedPreferences do aplicativo trojanizado
  • Obtenha uma lista de arquivos no dispositivo que terminam em .ppt, .pptx, .docx, .xls, .xlsx, .doc ou .pdf
  • Pastas de interesse especificadas dinamicamente pelo servidor C2, incluindo imagens da câmera e capturas de tela, anexos do Telegram, Whatsapp, GBWhatsapp, TalkBox, Zello, logs e históricos de bate-papo

O cliente de malware

Enquanto as variantes anteriores do cliente MOONSHINE tentaram obter persistência e acesso a permissões totais explorando outros aplicativos substituindo suas bibliotecas nativas, as amostras mais recentes não solicitam permissões totais do usuário na instalação nem tentam usar os arquivos da biblioteca nativa em mensagens -Apps para substituir. O parâmetro "Score" parece ser uma espécie de indicador que permite ao invasor decidir como proceder com o dispositivo de destino.

Após conectar-se ao C2, o cliente pode receber comandos do servidor para executar diversas funções dependendo da pontuação gerada para o dispositivo. O cliente de malware é capaz de:

  • Gravação de chamadas
  • coletando contatos
  • Recupere arquivos de um local especificado pelo C2
  • Coletando dados de localização do dispositivo
  • Exfiltração de mensagens SMS
  • captura de câmera
  • Gravação de microfones
  • Configurando um proxy SOCKS
  • Coletando dados WeChat de arquivos de banco de dados Tencent wcdb

A comunicação é enviada por um websocket seguro e é adicionalmente criptografada antes da transmissão usando um método personalizado chamado serialize(), semelhante ao usado para criptografar o arquivo de configuração SharedPreferences.

Vigilância da população uigur

Apesar da crescente pressão internacional, os atores chineses que atuam em nome do Estado chinês provavelmente continuarão a disseminar programas de vigilância direcionados a usuários de dispositivos móveis uigures e muçulmanos por meio de plataformas de comunicação em língua uigur. A ampla adoção de BadBazaar e MOONSHINE e a velocidade com que novos recursos foram introduzidos sugerem que o desenvolvimento dessas famílias continuará e que haverá demanda contínua por essas ferramentas.

Os usuários de dispositivos móveis nessas comunidades precisam ter muito cuidado ao distribuir aplicativos pelas mídias sociais. Usuários de dispositivos móveis fora da China só devem baixar aplicativos de lojas de aplicativos oficiais, como Google Play ou Apple App Store. Os usuários do aplicativo de segurança Lookout estão protegidos contra essas ameaças. Se os usuários acreditarem que são alvo de vigilância móvel ou precisarem de mais informações sobre essas campanhas, eles podem visualizar os serviços de inteligência de ameaças da Lookout ou entrar em contato com os pesquisadores da Lookout.

Mais em Lookout.com

www.lookout.com

Sobre o Mirante

Os cofundadores da Lookout, John Hering, Kevin Mahaffey e James Burgess, se uniram em 2007 com o objetivo de proteger as pessoas dos riscos de segurança e privacidade impostos por um mundo cada vez mais conectado. Mesmo antes de os smartphones estarem no bolso de todos, eles perceberam que a mobilidade teria um impacto profundo na maneira como trabalhamos e vivemos.

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

Criptografia de dados: Mais segurança em plataformas em nuvem

As plataformas online são frequentemente alvo de ataques cibernéticos, como o Trello recentemente. 5 dicas para garantir criptografia de dados mais eficaz na nuvem ➡ Leia mais

 

mensagens de relações públicas
, , , ,