Аналітики ІТ-безпеки виявили дві нові шпигунські програми для стеження, націлені на уйгурів у материковому Китаї та за кордоном.
В одній кампанії був представлений новий інструмент моніторингу Android, який Lookout назвав BadBazaar, який має спільну інфраструктуру з іншими раніше виявленими інструментами, націленими на уйгурів. Інший інструмент використовує оновлені варіанти раніше оприлюдненого інструменту MOONSHINE, виявленого Citizen Lab, який був націлений на тибетських активістів у 2019 році.
Незважаючи на те, що роками проводяться кампанії спостереження та затримання уйгурів та інших турецьких етнічних меншин, це питання привернуло підвищену міжнародну увагу після критичної доповіді Уповноваженого ООН з прав людини Мішель Бачелет у серпні 2022 року. У доповіді вказується, що Китай, можливо, вчинив злочини проти людяності, поводячись з уйгурами в регіоні Сіньцзян. 31 жовтня 2022 року 50 країн подали спільну заяву до Генеральної Асамблеї ООН, у якій висловили свою стурбованість «триваючими порушеннями прав людини проти уйгурів та інших переважно мусульманських меншин у Китаї».
Мобільні засоби моніторингу
Мобільні інструменти спостереження, такі як BadBazaar і MOONSHINE, можна використовувати для відстеження багатьох «дозлочинних» дій, які, на думку влади Сіньцзяна, свідчать про релігійний екстремізм або сепаратизм. Дії, які можуть призвести до ув’язнення користувача, включають використання VPN, спілкування з практикуючими мусульманами за кордоном, використання релігійних програм і використання певних програм обміну повідомленнями, таких як WhatsApp, які популярні за межами Китаю.
BadBazaar і ці нові варіанти MOONSHINE доповнюють і без того велику колекцію унікальних програм стеження, які використовуються в кампаніях для моніторингу та арешту людей у Китаї. Їх постійний розвиток і поширення на уйгуромовних платформах соціальних медіа вказує на те, що ці кампанії тривають і що зловмисники успішно проникли в онлайн-спільноти уйгурської мови для поширення свого шкідливого програмного забезпечення.
BadBazaar
Наприкінці 2021 року дослідники Lookout натрапили на твіт від @MalwareHunterTeam у Твіттері, у якому згадувалося про програму англо-уйгурського словника, яку співробітники VirusTotal позначили як шкідливу програму. Це пов’язано з Бахамутом, гравцем, який переважно працює на Близькому Сході.
Аналізуючи цей зразок, стало зрозуміло, що ця шкідлива програма натомість пов’язана з кампаніями стеження, націленими на уйгурів та інші турецькі етнічні меншини в Китаї та за кордоном. Збіг інфраструктури та TTP свідчить про те, що ці кампанії пов’язані з APT15, підтримуваною Китаєм хакерською групою, також відомою як VIXEN PANDA та NICKEL. Lookout назвав це сімейство зловмисних програм BadBazaar у відповідь на ранній варіант, що видавав себе за сторонній магазин програм під назвою "APK Bazar". Базар — це менш відомий варіант написання Базару.
Зловмисне програмне забезпечення маскується під програми для Android
Відтоді Lookout зібрав 111 унікальних зразків програмного забезпечення для моніторингу BadBazaar, починаючи з кінця 2018 року. У другій половині 70 року понад 2022 відсотків цих додатків були знайдені в каналах зв’язку уйгурською мовою. Зловмисне програмне забезпечення в основному маскується під різноманітні програми Android, як-от B. Менеджери акумулятора, відеоплеєри, програми для радіо, програми для обміну повідомленнями, словники та релігійні програми. Дослідники також виявили випадки програм, які видають себе за нешкідливий сторонній магазин програм для уйгурів.
Схоже, що кампанія в основному спрямована проти уйгурів у Китаї. Однак дослідники знайшли докази більш широкого націлювання на мусульман і уйгурів за межами Сіньцзяну. Наприклад, кілька зразків, які ми проаналізували, маскувались під картографічні програми для інших країн із великим мусульманським населенням, таких як Туреччина чи Афганістан. Вони також виявили, що невелика підгрупа програм була надіслана в Google Play Store, що свідчить про те, що зловмисник був зацікавлений у тому, щоб охопити користувачів пристроїв Android за межами Китаю, якщо це можливо. Очевидно, програми, про які йдеться в цій статті, ніколи не розповсюджувалися через Google Play.
ступінь спостереження
BadBazaar, здається, було розроблено в ітераційному процесі. Ранні варіанти включали корисне навантаження, update.jar, у файл Android APK і завантажували його, щойно програму було запущено. Пізніше цей процес було оновлено, щоб створити зразки з обмеженими можливостями моніторингу в самому файлі APK. Натомість зловмисне програмне забезпечення покладається на здатність додатка оновлюватися за допомогою виклику свого сервера C2. Однак у своїй останній версії BadBazaar отримує корисне навантаження виключно шляхом завантаження файлу з сервера C2 на порт 20121 і збереження його в каталозі кешу програми. Інструмент моніторингу Android здатний збирати велику кількість даних про пристрій:
- Розташування (широта і довгота)
- Список встановлених пакетів
- Журнали викликів і географічне місцезнаходження, пов’язане з викликом
- Контактна інформація
- Встановлені програми для Android
- СМС інформація
- Розширена інформація про пристрій, включаючи модель, мову, IMEI, IMSI, ICCID (серійний номер SIM-карти), номер телефону, часовий пояс і централізовану реєстрацію облікових записів користувачів в Інтернеті
- Інформація про WiFi (підключено чи ні, і якщо підключено, IP, SSID, BSSID, MAC, маска мережі, шлюз, DNS1, DNS2)
- записувати телефонні розмови
- фотографувати
- Файли даних і бази даних із каталогу SharedPreferences троянської програми
- Отримайте на пристрої список файлів із розширеннями .ppt, .pptx, .docx, .xls, .xlsx, .doc або .pdf
- Цікаві папки, динамічно визначені сервером C2, включаючи зображення з камери та скріншоти, вкладення з Telegram, Whatsapp, GBWhatsapp, TalkBox, Zello, журнали та історії чатів
Клієнт шкідливого ПЗ
У той час як попередні варіанти клієнта MOONSHINE намагалися отримати постійність і доступ до повних дозволів, використовуючи інші програми, замінюючи їхні рідні бібліотеки, останні зразки не запитують у користувача повні дозволи під час інсталяції та не намагаються використовувати файли рідної бібліотеки в обміні повідомленнями -Програми замінити. Параметр «Оцінка» виглядає як певний індикатор, який дозволяє зловмиснику вирішити, як діяти з цільовим пристроєм.
Після підключення до C2 клієнт може отримувати команди від сервера для виконання різноманітних функцій залежно від оцінки, згенерованої для пристрою. Клієнт зловмисного ПЗ може:
- Запис дзвінків
- збір контактів
- Отримати файли з місця, визначеного C2
- Збір даних про місцезнаходження пристрою
- Викрадання SMS-повідомлень
- захоплення камери
- Запис з мікрофонів
- Налаштування SOCKS проксі
- Збір даних WeChat із файлів бази даних Tencent wcdb
Зв’язок надсилається через безпечний веб-сокет і додатково шифрується перед передачею за допомогою спеціального методу під назвою serialize(), подібного до того, який використовується для шифрування файлу конфігурації SharedPreferences.
Спостереження за уйгурським населенням
Незважаючи на зростаючий міжнародний тиск, китайські актори, які діють від імені китайської держави, ймовірно, продовжуватимуть поширювати програми стеження, націлені на користувачів мобільних пристроїв уйгурською та мусульманською мовами через комунікаційні платформи уйгурською мовою. Широке поширення BadBazaar і MOONSHINE і швидкість, з якою були введені нові функції, дозволяють припустити, що розвиток цих сімейств триватиме і що існує постійний попит на ці інструменти.
Користувачі мобільних пристроїв у цих спільнотах повинні бути особливо обережними, розповсюджуючи програми через соціальні мережі. Користувачам мобільних пристроїв за межами Китаю слід завантажувати програми лише з офіційних магазинів програм, таких як Google Play або Apple App Store. Користувачі програми безпеки Lookout захищені від цих загроз. Якщо користувачі вважають, що вони є об’єктом мобільного стеження або їм потрібна додаткова інформація про ці кампанії, вони можуть переглянути послуги Lookout Threat Intelligence або зв’язатися з дослідниками Lookout.
Більше на Lookout.comwww.lookout.com
Про Lookout Співзасновники Lookout Джон Герінг, Кевін Махаффі та Джеймс Берджесс об’єдналися в 2007 році з метою захистити людей від загроз безпеці та конфіденційності, пов’язаних зі все більш зв’язаним світом. Ще до того, як смартфони були в кишені кожного, вони зрозуміли, що мобільність матиме глибокий вплив на те, як ми працюємо та живемо.
Статті по темі