Malware era um novo spyware usando a mesma infraestrutura vista nas campanhas de 2020 contra minorias na China
Uma ferramenta de malware para Android – anteriormente não documentada – chamada ‘BadBazaar’ foi descoberta recentemente visando minorias étnicas e religiosas na China, principalmente os uigures em Xinjiang.
Os uigures, uma minoria muçulmana regional de cerca de 13 milhões de pessoas, sofreram extrema opressão do governo central chinês devido ao seu desvio cultural dos valores típicos da China oriental.
O novo spyware foi originalmente descoberto pelo MalwareHunterTeam e vinculado ao Bahamut nas detecções do vírus.
Após análise mais aprofundada, descobriu-se que o malware era um novo spyware usando a mesma infraestrutura vista nas campanhas de 2020 contra os uigures pelo grupo de hackers APT15 (também conhecido como “Pitty Tiger”).
Além disso, a Lookout observou uma segunda campanha usando novas variantes do ‘Moonshine’, um spyware descoberto pelo CitizenLab em 2019 e implantado contra grupos tibetanos.
Detalhes do Malware BadBazaar
O spyware BadBazaar usou pelo menos 111 aplicativos diferentes desde 2018 para infectar os uigures, promovendo-os em canais de comunicação preenchidos pelo grupo étnico específico.
Os aplicativos personificados abrangem uma ampla variedade de categorias, de dicionários a companheiros de práticas religiosas e de otimizadores de bateria a players de vídeo.
A Lookout não encontrou evidências de que esses aplicativos tenham chegado ao Google Play, a loja de aplicativos oficial do Android, então eles provavelmente são distribuídos por meio de lojas de terceiros ou mesmo sites maliciosos.
Curiosamente, há um único caso de um aplicativo iOS na Apple App Store que se comunica com o C2 malicioso, mas não possui funcionalidade de spyware, apenas enviando o UDID do dispositivo.
Os recursos de coleta de dados do BadBazaar incluem:
- Localização precisa
- Lista de aplicativos instalados
- Registros de chamadas com dados de geolocalização
- Lista de contatos
- SMS
- Informações completas do dispositivo
- Informações de Wi-Fi
- Gravação de chamadas telefônicas
- Tirar fotos
- Exfiltrar arquivos ou bancos de dados
- Acesse pastas de alto interesse (imagens, logs de aplicativos de mensagens instantâneas, histórico de bate-papo etc.)
Analisando a infraestrutura C2, que expõe alguns dos painéis de administração e as coordenadas GPS dos dispositivos de teste devido a erros, os analistas encontraram conexões com a empresa de defesa chinesa Xi’an Tian He Defense Technology.
Novas variantes do Moonshine
A partir de julho de 2022, os pesquisadores notaram uma nova campanha usando 50 aplicativos que enviam novas versões do spyware ‘Moonshine’ para as vítimas. Esses aplicativos são promovidos em canais do app Telegram de língua uigur, onde usuários desonestos os sugerem como software confiável para outros membros.
A versão mais recente do malware ainda é modular e seus autores adicionaram mais módulos para estender os recursos de vigilância da ferramenta.
Os dados que o Moonshine rouba de dispositivos incluem atividade de rede, endereço IP, informações de hardware e muito mais.
Os comandos C2 suportados pelo malware são:
- Gravação de chamadas
- Coleção de contatos
- Recuperar arquivos de um local especificado pelo C2
- Coleta dados de localização do dispositivo
- Exfiltrar mensagens SMS
- Captura da câmera
- Gravação de microfone
- Estabelecer proxy SOCKS
- Coleta dados do WeChat
A Lookout encontrou evidências de que os autores da nova versão do Moonshine são chineses, pois os comentários de código e a documentação da API do lado do servidor são escritos em chinês simplificado.
“Embora os pesquisadores não pudessem conectar o cliente de malware ou infraestrutura a uma empresa de tecnologia específica, ele é uma ferramenta de vigilância bem construída e cheia de recursos que provavelmente exigiria informações substanciais”, disse uma fonte.
Os recursos de coleta de dados do BadBazaar incluem:
- Localização precisa
- Lista de aplicativos instalados
- Registros de chamadas com dados de geolocalização
- Lista de contatos
- SMS
- Informações completas do dispositivo
- Informações de Wi-Fi
- Gravação de chamadas telefônicas
- Tirar fotos
- Exfiltrar arquivos ou bancos de dados
- Acesse pastas de alto interesse (imagens, logs de aplicativos de mensagens instantâneas, histórico de bate-papo etc.)
Analisando a infraestrutura C2, que expõe alguns dos painéis de administração e as coordenadas GPS dos dispositivos de teste devido a erros, os analistas encontraram conexões com a empresa de defesa chinesa Xi’an Tian He Defense Technology.
Novas variantes do Moonshine
A partir de julho de 2022, os pesquisadores notaram uma nova campanha usando 50 aplicativos que enviam novas versões do spyware ‘Moonshine’ para as vítimas. Esses aplicativos são promovidos em canais do app Telegram de língua uigur, onde usuários desonestos os sugerem como software confiável para outros membros.
A versão mais recente do malware ainda é modular e seus autores adicionaram mais módulos para estender os recursos de vigilância da ferramenta.
Os dados que o Moonshine rouba de dispositivos incluem atividade de rede, endereço IP, informações de hardware e muito mais.
Os comandos C2 suportados pelo malware são:
- Gravação de chamadas
- Coleção de contatos
- Recuperar arquivos de um local especificado pelo C2
- Coleta dados de localização do dispositivo
- Exfiltrar mensagens SMS
- Captura da câmera
- Gravação de microfone
- Estabelecer proxy SOCKS
- Coleta dados do WeChat
A Lookout encontrou evidências de que os autores da nova versão do Moonshine são chineses, pois os comentários de código e a documentação da API do lado do servidor são escritos em chinês simplificado.
“Embora os pesquisadores não pudessem conectar o cliente de malware ou infraestrutura a uma empresa de tecnologia específica, ele é uma ferramenta de vigilância bem construída e cheia de recursos que provavelmente exigiria informações substanciais”, disse uma fonte. (Olhar Digital).
