Analistas de segurança de TI descobriram dois novos programas de spyware de vigilância direcionados aos uigures na China continental e no exterior.
Uma campanha introduziu uma nova ferramenta de monitoramento do Android que a Lookout apelidou de BadBazaar, que compartilha a infraestrutura com outras ferramentas direcionadas aos uigures descobertas anteriormente. A outra ferramenta usa variantes atualizadas de uma ferramenta divulgada anteriormente, MOONSHINE, descoberta pelo Citizen Lab que visava ativistas tibetanos em 2019.
Embora haja campanhas de vigilância e detenção contra uigures e outras minorias étnicas turcas há anos, essa questão recebeu maior atenção internacional após um relatório crítico da Comissária de Direitos Humanos da ONU, Michelle Bachelet, em agosto de 2022. O relatório apontou que a China pode ter cometido crimes contra a humanidade ao tratar os uigures na região de Xinjiang. Em 31 de outubro de 2022, 50 países enviaram uma declaração conjunta à Assembleia Geral da ONU expressando sua preocupação com as “violações contínuas dos direitos humanos contra uigures e outras minorias predominantemente muçulmanas na China.
Ferramentas de monitoramento móvel
Ferramentas de vigilância móvel, como BadBazaar e MOONSHINE, podem ser usadas para rastrear muitas das atividades “pré-criminosas”, que são atos que as autoridades de Xinjiang consideram indicar extremismo religioso ou separatismo. As atividades que podem resultar na prisão de um usuário incluem o uso de uma VPN, a comunicação com muçulmanos praticantes no exterior, o uso de aplicativos religiosos e o uso de determinados aplicativos de mensagens, como o WhatsApp, populares fora da China.
O BadBazaar e essas novas variantes do MOONSHINE se somam à já extensa coleção de programas de vigilância exclusivos usados em campanhas para monitorar e depois prender pessoas na China. Seu desenvolvimento e proliferação contínuos em plataformas de mídia social em língua uigur indicam que essas campanhas estão em andamento e que os invasores se infiltraram com sucesso nas comunidades uigures online para espalhar seu malware.
BadBazar
No final de 2021, os pesquisadores da Lookout encontraram um tweet do identificador do Twitter @MalwareHunterTeam que se referia a um aplicativo de dicionário inglês-uigur que os funcionários do VirusTotal sinalizaram como malware. Isso está ligado a Bahamut, um jogador ativo principalmente no Oriente Médio.
Analisando essa amostra, ficou claro que esse malware está associado a campanhas de vigilância direcionadas a uigures e outras minorias étnicas turcas na China e no exterior. Infraestruturas sobrepostas e TTPs sugerem que essas campanhas estão vinculadas ao APT15, um grupo de hackers apoiado pela China também conhecido como VIXEN PANDA e NICKEL. A Lookout chamou essa família de malware de BadBazaar em resposta a uma variante inicial que se apresentava como uma loja de aplicativos de terceiros chamada "APK Bazar". Bazar é uma grafia menos conhecida de Bazaar.
O malware se disfarça como aplicativos Android
Desde então, a Lookout coletou 111 amostras exclusivas do software de monitoramento BadBazaar, desde o final de 2018. Mais de 70% desses aplicativos foram encontrados em canais de comunicação em língua uigur no segundo semestre de 2022. O malware se disfarça principalmente como uma variedade de aplicativos Android, como B. Gerenciadores de bateria, players de vídeo, aplicativos de rádio, aplicativos de mensagens, dicionários e aplicativos religiosos. Os pesquisadores também encontraram casos de aplicativos que fingem ser uma loja de aplicativos de terceiros inofensiva para uigures.
A campanha parece ter como alvo principal os uigures na China. No entanto, os pesquisadores encontraram evidências de um alvo mais amplo de muçulmanos e uigures fora de Xinjiang. Por exemplo, várias das amostras que analisamos mascaradas como aplicativos de mapas para outros países com grandes populações muçulmanas, como a Turquia ou o Afeganistão. Eles também descobriram que um pequeno subconjunto de aplicativos foi enviado para a Google Play Store, sugerindo que o invasor estava interessado em alcançar usuários de dispositivos Android fora da China, se possível. Aparentemente, os aplicativos discutidos neste artigo nunca foram distribuídos pelo Google Play.
extensão da vigilância
BadBazaar parece ter sido desenvolvido em um processo iterativo. As primeiras variantes agrupavam uma carga útil, update.jar, dentro do arquivo APK do Android e o carregavam assim que o aplicativo era iniciado. Esse processo foi atualizado posteriormente para produzir amostras com recursos de monitoramento limitados no próprio APK. Em vez disso, o malware depende da capacidade do aplicativo de se atualizar chamando seu servidor C2. No entanto, em sua versão mais recente, o BadBazaar obtém sua carga útil apenas baixando um arquivo do servidor C2 na porta 20121 e armazenando-o no diretório de cache do aplicativo. A ferramenta de monitoramento do Android é capaz de coletar dados extensos do dispositivo:
- Localização (latitude e longitude)
- Lista de pacotes instalados
- Registros de chamadas e localização com código geográfico associados à chamada
- informações de contato
- Aplicativos Android instalados
- informações SMS
- Extensas informações do dispositivo, incluindo modelo, idioma, IMEI, IMSI, ICCID (número de série do SIM), número de telefone, fuso horário e registro centralizado das contas online do usuário
- Informação WiFi (conectado ou não, e se conectado, IP, SSID, BSSID, MAC, Netmask, Gateway, DNS1, DNS2)
- gravar conversas telefônicas
- Fotos aufnehmen
- Dados e arquivos de banco de dados do diretório SharedPreferences do aplicativo trojanizado
- Obtenha uma lista de arquivos no dispositivo que terminam em .ppt, .pptx, .docx, .xls, .xlsx, .doc ou .pdf
- Pastas de interesse especificadas dinamicamente pelo servidor C2, incluindo imagens da câmera e capturas de tela, anexos do Telegram, Whatsapp, GBWhatsapp, TalkBox, Zello, logs e históricos de bate-papo
O cliente de malware
Enquanto as variantes anteriores do cliente MOONSHINE tentaram obter persistência e acesso a permissões totais explorando outros aplicativos substituindo suas bibliotecas nativas, as amostras mais recentes não solicitam permissões totais do usuário na instalação nem tentam usar os arquivos da biblioteca nativa em mensagens -Apps para substituir. O parâmetro "Score" parece ser uma espécie de indicador que permite ao invasor decidir como proceder com o dispositivo de destino.
Após conectar-se ao C2, o cliente pode receber comandos do servidor para executar diversas funções dependendo da pontuação gerada para o dispositivo. O cliente de malware é capaz de:
- Gravação de chamadas
- coletando contatos
- Recupere arquivos de um local especificado pelo C2
- Coletando dados de localização do dispositivo
- Exfiltração de mensagens SMS
- captura de câmera
- Gravação de microfones
- Configurando um proxy SOCKS
- Coletando dados WeChat de arquivos de banco de dados Tencent wcdb
A comunicação é enviada por um websocket seguro e é adicionalmente criptografada antes da transmissão usando um método personalizado chamado serialize(), semelhante ao usado para criptografar o arquivo de configuração SharedPreferences.
Vigilância da população uigur
Apesar da crescente pressão internacional, os atores chineses que atuam em nome do Estado chinês provavelmente continuarão a disseminar programas de vigilância direcionados a usuários de dispositivos móveis uigures e muçulmanos por meio de plataformas de comunicação em língua uigur. A ampla adoção de BadBazaar e MOONSHINE e a velocidade com que novos recursos foram introduzidos sugerem que o desenvolvimento dessas famílias continuará e que haverá demanda contínua por essas ferramentas.
Os usuários de dispositivos móveis nessas comunidades precisam ter muito cuidado ao distribuir aplicativos pelas mídias sociais. Usuários de dispositivos móveis fora da China só devem baixar aplicativos de lojas de aplicativos oficiais, como Google Play ou Apple App Store. Os usuários do aplicativo de segurança Lookout estão protegidos contra essas ameaças. Se os usuários acreditarem que são alvo de vigilância móvel ou precisarem de mais informações sobre essas campanhas, eles podem visualizar os serviços de inteligência de ameaças da Lookout ou entrar em contato com os pesquisadores da Lookout.
Mais em Lookout.comwww.lookout.com
Sobre o Mirante Os cofundadores da Lookout, John Hering, Kevin Mahaffey e James Burgess, se uniram em 2007 com o objetivo de proteger as pessoas dos riscos de segurança e privacidade impostos por um mundo cada vez mais conectado. Mesmo antes de os smartphones estarem no bolso de todos, eles perceberam que a mobilidade teria um impacto profundo na maneira como trabalhamos e vivemos.
Artigos relacionados ao tema