Novo malware para Android é ligado a ciberespiões chineses
Uma ferramenta de malware para Android – anteriormente não documentada – chamada ‘BadBazaar’ foi descoberta recentemente visando minorias étnicas e religiosas na China, principalmente os uigures em Xinjiang.
Os uigures, uma minoria muçulmana regional de cerca de 13 milhões de pessoas, sofreram extrema opressão do governo central chinês devido ao seu desvio cultural dos valores típicos da China oriental.
Leia mais:
Primeiro e-mail de Elon Musk para funcionários do Twitter tem mensagem alarmanteWi-Fi Brasil: programa leva internet gratuita a mais de 500 pontos do BrasilGoogle facilita a vida de quem quer acompanhar a Copa do Mundo; entenda
O novo spyware foi originalmente descoberto pelo MalwareHunterTeam e vinculado ao Bahamut nas detecções do vírus.
Após análise mais aprofundada, descobriu-se que o malware era um novo spyware usando a mesma infraestrutura vista nas campanhas de 2020 contra os uigures pelo grupo de hackers APT15 (também conhecido como “Pitty Tiger”).
Além disso, a Lookout observou uma segunda campanha usando novas variantes do ‘Moonshine’, um spyware descoberto pelo CitizenLab em 2019 e implantado contra grupos tibetanos.
Detalhes do Malware BadBazaar
O spyware BadBazaar usou pelo menos 111 aplicativos diferentes desde 2018 para infectar os uigures, promovendo-os em canais de comunicação preenchidos pelo grupo étnico específico.
Yuttanas/Shutterstock
Os aplicativos personificados abrangem uma ampla variedade de categorias, de dicionários a companheiros de práticas religiosas e de otimizadores de bateria a players de vídeo.
A Lookout não encontrou evidências de que esses aplicativos tenham chegado ao Google Play, a loja de aplicativos oficial do Android, então eles provavelmente são distribuídos por meio de lojas de terceiros ou mesmo sites maliciosos.
Curiosamente, há um único caso de um aplicativo iOS na Apple App Store que se comunica com o C2 malicioso, mas não possui funcionalidade de spyware, apenas enviando o UDID do dispositivo.
Os recursos de coleta de dados do BadBazaar incluem:
Localização precisaLista de aplicativos instaladosRegistros de chamadas com dados de geolocalizaçãoLista de contatosSMSInformações completas do dispositivoInformações de Wi-FiGravação de chamadas telefônicasTirar fotosExfiltrar arquivos ou bancos de dadosAcesse pastas de alto interesse (imagens, logs de aplicativos de mensagens instantâneas, histórico de bate-papo etc.)
Analisando a infraestrutura C2, que expõe alguns dos painéis de administração e as coordenadas GPS dos dispositivos de teste devido a erros, os analistas encontraram conexões com a empresa de defesa chinesa Xi’an Tian He Defense Technology.
Novas variantes do Moonshine
A partir de julho de 2022, os pesquisadores notaram uma nova campanha usando 50 aplicativos que enviam novas versões do spyware ‘Moonshine’ para as vítimas. Esses aplicativos são promovidos em canais do app Telegram de língua uigur, onde usuários desonestos os sugerem como software confiável para outros membros.
A versão mais recente do malware ainda é modular e seus autores adicionaram mais módulos para estender os recursos de vigilância da ferramenta.
Os dados que o Moonshine rouba de dispositivos incluem atividade de rede, endereço IP, informações de hardware e muito mais.
Os comandos C2 suportados pelo malware são:
Gravação de chamadasColeção de contatosRecuperar arquivos de um local especificado pelo C2Coleta dados de localização do dispositivoExfiltrar mensagens SMSCaptura da câmeraGravação de microfoneEstabelecer proxy SOCKSColeta dados do WeChat
A Lookout encontrou evidências de que os autores da nova versão do Moonshine são chineses, pois os comentários de código e a documentação da API do lado do servidor são escritos em chinês simplificado.
“Embora os pesquisadores não pudessem conectar o cliente de malware ou infraestrutura a uma empresa de tecnologia específica, ele é uma ferramenta de vigilância bem construída e cheia de recursos que provavelmente exigiria informações substanciais”, disse uma fonte.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
O post Novo malware para Android é ligado a ciberespiões chineses apareceu primeiro em Olhar Digital.
