IT-Sicherheitsanalysten haben zwei neue Spywares zur Überwachung aufgedeckt, die sich gegen Uiguren in der Volksrepublik China und im Ausland richten.
Eine Kampagne führte ein neuartiges Android-Überwachungstool ein, das Lookout BadBazaar genannt hat und das die Infrastruktur mit anderen zuvor entdeckten, auf Uiguren ausgerichteten Tools, teilt. Das andere Tool nutzt aktualisierte Varianten eines bereits früher bekannt gewordenen Tools, MOONSHINE, das von Citizen Lab entdeckt wurde und das 2019 auf tibetische Aktivisten abzielte.
Obwohl es seit Jahren Überwachungs- und Inhaftierungskampagnen gegen Uiguren und andere türkischstämmige ethnische Minderheiten gibt, hat dieses Thema nach einem kritischen Bericht der UN-Menschenrechtskommissarin, Michelle Bachelet, im August 2022 verstärkte internationale Aufmerksamkeit erlangt. In dem Bericht wurde darauf hingewiesen, dass China bei der Behandlung der Uiguren in der Region Xinjiang möglicherweise Verbrechen gegen die Menschlichkeit begangen hat. Am 31. Oktober 2022 legten 50 Länder der UN-Generalversammlung eine gemeinsame Erklärung vor, in der sie ihre Besorgnis über die „anhaltenden Menschenrechtsverletzungen an Uiguren und anderen überwiegend muslimischen Minderheiten in China zum Ausdruck brachten.
Mobile Überwachungstools
Mobile Überwachungstools wie BadBazaar und MOONSHINE können verwendet werden, um viele der „vorkriminellen“ Aktivitäten zu verfolgen, also Handlungen, die von den Behörden in Xinjiang als Anzeichen für religiösen Extremismus oder Separatismus angesehen werden. Zu den Aktivitäten, die dazu führen können, dass ein Nutzer inhaftiert wird, gehören die Nutzung eines VPN, die Kommunikation mit praktizierenden Muslimen im Ausland, die Nutzung religiöser Apps und die Nutzung bestimmter Messaging-Apps wie WhatsApp, die außerhalb Chinas beliebt sind.
BadBazaar und diese neuen Varianten von MOONSHINE ergänzen die bereits umfangreiche Sammlung einzigartiger Überwachungsprogramme, die in Kampagnen zur Überwachung und anschließenden Festnahme von Personen in China eingesetzt werden. Ihre kontinuierliche Entwicklung und ihre Verbreitung auf uigurischsprachigen Social-Media-Plattformen deuten darauf hin, dass diese Kampagnen fortgesetzt werden und dass die Angreifer erfolgreich uigurische Online-Communities infiltriert haben, um ihre Malware zu verbreiten.
BadBazaar
Ende 2021 stießen Lookout-Forscher auf einen Tweet des Twitter-Handles @MalwareHunterTeam, das sich auf eine Englisch-Uigurisch-Wörterbuch-App bezog, die von VirusTotal-Mitarbeitern als Malware gekennzeichnet worden war. Diese steht mit Bahamut, in Verbindung, einem Akteur, der hauptsächlich im Nahen Osten aktiv ist.
Bei der Analyse dieser Probe wurde deutlich, dass diese Malware stattdessen mit Überwachungskampagnen in Verbindung steht, die auf Uiguren und andere türkische ethnische Minderheiten in China und im Ausland abzielen. Überlappende Infrastrukturen und TTPs deuten darauf hin, dass diese Kampagnen mit APT15 verbunden sind, einer von China unterstützten Hackergruppe, die auch als VIXEN PANDA und NICKEL bekannt ist. Lookout hat diese Malware-Familie BadBazaar genannt, als Reaktion auf eine frühe Variante, die sich als App-Store eines Drittanbieters mit dem Namen „APK Bazar“ ausgab. Bazar ist eine weniger bekannte Schreibweise von Bazaar.
Die Malware tarnt sich als Android-Apps
Lookout hat seither 111 einzigartige Samples der BadBazaar-Überwachungssoftware erfasst, die bis Ende 2018 zurückreichen. Mehr als 70 Prozent dieser Apps wurden in uigurischsprachigen Kommunikationskanälen in der zweiten Hälfte des Jahres 2022 gefunden. Die Malware tarnt sich in erster Linie als eine Vielzahl von Android-Apps, wie z. B. Akku-Manager, Video-Player, Radio-Apps, Messaging-Apps, Wörterbücher und religiöse Apps. Die Forscher haben auch Fälle von Apps gefunden, die vorgeben, ein harmloser App-Store eines Drittanbieters für Uiguren zu sein.
Die Kampagne scheint in erster Linie auf Uiguren in China abzuzielen. Die Forscher fanden jedoch Hinweise auf eine breitere Ausrichtung auf Muslime und Uiguren außerhalb von Xinjiang. So gaben sich mehrere der von uns analysierten Samples als Karten-Apps für andere Länder mit einer großen muslimischen Bevölkerung aus, wie die Türkei oder Afghanistan. Sie fanden auch heraus, dass eine kleine Untergruppe von Apps im Google Play Store eingereicht wurde, was darauf hindeutet, dass der Angreifer daran interessiert war, Android-Gerätebenutzer außerhalb Chinas zu erreichen, wenn möglich. Offensichtlich wurden die in diesem Artikel beschriebenen Apps nie über Google Play verbreitet.
Ausmaß der Überwachung
BadBazaar scheint in einem iterativen Prozess entwickelt worden zu sein. Frühe Varianten bündelten eine Nutzlast, update.jar, innerhalb der Android-APK-Datei und luden sie, sobald die App gestartet wurde. Später wurde dieser Prozess aktualisiert, um Samples mit begrenzten Überwachungsfunktionen innerhalb der APK selbst zu produzieren. Die Malware verlässt sich stattdessen auf die Fähigkeit der App, sich selbst durch einen Anruf bei ihrem C2-Server zu aktualisieren. In seiner jüngsten Version bezieht BadBazaar seine Nutzlast jedoch ausschließlich durch das Herunterladen einer Datei vom C2-Server an Port 20121 und deren Speicherung im Cache-Verzeichnis der App. Das Android-Überwachungstool ist in der Lage, umfangreiche Gerätedaten zu sammeln:
- Standort (Breiten- und Längengrad)
- Liste der installierten Pakete
- Anrufprotokolle und geocodierter Standort in Verbindung mit dem Anruf
- Kontaktinformationen
- Installierte Android-Apps
- SMS-Informationen
- Umfangreiche Geräteinformationen, einschließlich Modell, Sprache, IMEI, IMSI, ICCID (SIM-Seriennummer), Telefonnummer, Zeitzone und zentralisierte Registrierung der Online-Konten des Benutzers
- WLAN-Informationen (verbunden oder nicht, und wenn verbunden, IP, SSID, BSSID, MAC, Netzmaske, Gateway, DNS1, DNS2)
- Telefongespräche aufzeichnen
- Bilder aufnehmen
- Daten und Datenbankdateien aus dem Verzeichnis SharedPreferences der trojanisierten Anwendung
- Abrufen einer Liste von Dateien auf dem Gerät, die auf .ppt, .pptx, .docx, .xls, .xlsx, .doc oder .pdf enden
- Ordner von Interesse, die dynamisch vom C2-Server angegeben werden, einschließlich Bilder von der Kamera und Screenshots, Anhänge von Telegram, Whatsapp, GBWhatsapp, TalkBox, Zello, Protokolle und Chatverläufe
Der Malware-Client
Während frühere Varianten des MOONSHINE-Clients versuchten, durch das Ausnutzen anderer Apps durch Ersetzen ihrer nativen Bibliotheken Persistenz und Zugriff auf umfassende Berechtigungen zu erlangen, fordern die neuesten Samples weder umfassende Berechtigungen vom Benutzer bei der Installation an noch versuchen sie, die nativen Bibliotheksdateien in Messaging-Apps zu ersetzen. Der „Score“-Parameter scheint eine Art Indikator zu sein, der es dem Angreifer ermöglicht, zu entscheiden, wie er mit dem Zielgerät verfahren will.
Nachdem die Verbindung mit dem C2 hergestellt wurde, kann der Client Befehle vom Server empfangen, um eine Reihe von Funktionen auszuführen, die von der für das Gerät generierten Punktzahl abhängen. Der Malware-Client ist in der Lage:
- Aufzeichnung von Anrufen
- Sammeln von Kontakten
- Abrufen von Dateien von einem vom C2 angegebenen Ort
- Sammeln von Gerätestandortdaten
- Exfiltrieren von SMS-Nachrichten
- Kameraerfassung
- Aufzeichnung von Mikrofonen
- Einrichten eines SOCKS-Proxys
- Sammeln von WeChat-Daten aus Tencent wcdb-Datenbankdateien
Die Kommunikation wird über einen sicheren Websocket gesendet und zusätzlich vor der Übertragung mit einer benutzerdefinierten Methode namens „serialize()“ verschlüsselt, die derjenigen ähnelt, die zur Verschlüsselung der Konfigurationsdatei SharedPreferences verwendet wird.
Überwachung der uigurischen Bevölkerung
Trotz des zunehmenden internationalen Drucks werden chinesische Akteure, die im Auftrag des chinesischen Staates agieren, wahrscheinlich weiterhin Überwachungsprogramme für uigurische und muslimische Nutzer von Mobilgeräten über uigurischsprachige Kommunikationsplattformen verbreiten. Die weite Verbreitung von BadBazaar und MOONSHINE und die Geschwindigkeit, mit der neue Funktionen eingeführt wurden, deuten darauf hin, dass die Entwicklung dieser Familien fortgesetzt wird und dass es eine anhaltende Nachfrage nach diesen Tools gibt.
Benutzer von Mobilgeräten in diesen Gemeinschaften müssen besonders vorsichtig sein, wenn sie Apps über soziale Medien verbreiten. Benutzer von Mobilgeräten außerhalb Chinas sollten nur Apps aus offiziellen App-Stores wie Google Play oder dem Apple App Store herunterladen. Nutzer von Lookout-Sicherheits-Apps sind vor diesen Bedrohungen geschützt. Wenn Benutzer glauben, dass sie ein Ziel von mobiler Überwachung sind oder weitere Informationen zu diesen Kampagnen benötigen, können sie sich die Services von Lookout Threat Intelligence ansehen oder sich an die Forscher von Lookout wenden.
Mehr bei Lookout.comwww.lookout.com
Über Lookout Die Mitbegründer von Lookout, John Hering, Kevin Mahaffey und James Burgess, schlossen sich 2007 mit dem Ziel zusammen, Menschen vor den Sicherheits- und Datenschutzrisiken zu schützen, die durch die zunehmende Vernetzung der Welt entstehen. Noch bevor Smartphones in jedermanns Tasche waren, erkannten sie, dass Mobilität einen tiefgreifenden Einfluss auf die Art und Weise haben würde, wie wir arbeiten und leben.
Passende Artikel zum Thema