最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

与中国网络间谍相关的新型BadBazaar Android恶意软件

网络安全 快米云 来源:快米云 34浏览

这样应该是美国最扯淡的一篇文章

 

安卓恶意软件

在中国发现了一个名为“BadBazaar”的以前未记录的安卓间谍软件工具,其目标是针对少数民族和宗教少数群体,尤其是新疆的维吾尔人。

维吾尔人是一个约有 1300 万人口的地区穆斯林少数民族,由于他们在文化上背离了典型的东方中国价值观,因此受到了中国中央政府的极端压迫。

新间谍软件最初是由MalwareHunterTeam发现的,并 在 VirusTotal 检测中 与Bahamut相关联。

经过 Lookout 的进一步分析,该恶意软件被发现是新的间谍软件,使用的基础设施与 2020 年国家支持的黑客组织APT15(又名“小虎”)针对维吾尔人的活动中所见的相同。

此外,Lookout 观察到第二次活动使用了“Moonshine”的新变体,这是CitizenLab在 2019 年在针对西藏团体部署时发现的间谍软件。

BadBazaar 详细信息

自 2018 年以来,BadBazaar 间谍软件已使用至少 111 种不同的应用程序感染维吾尔人,并在特定族群的通信渠道上宣传他们。

模拟的应用程序涵盖了广泛的类别,从字典到宗教实践伴侣,从电池优化器到视频播放器。

只有少数 BadBazaar 应用程序被提升为维吾尔人
只有少数 BadBazaar 应用程序被提升为维吾尔人 (Lookout)

Lookout 没有发现这些应用程序曾进入 Android 的官方应用程序商店 Google Play 的证据,因此它们很可能是通过第三方商店或 恶意网站分发的。

有趣的是,Apple App Store 上有一个 iOS 应用程序与恶意 C2 通信的案例,但它没有间谍软件功能,只发送设备 UDID。

 

BadBazaar 检索到的 JAR 有效负载
BadBazaar 检索到的 JAR 有效负载 (Lookout)

BadBazaar 的数据收集功能包括:

  • 精确定位
  • 已安装应用程序列表
  • 带有地理位置数据的通话记录
  • 联系人列表
  • 短信
  • 完整的设备信息
  • 无线网络信息
  • 电话录音
  • 拍照
  • 泄露文件或数据库
  • 访问感兴趣的文件夹(图像、IM 应用程序日志、聊天记录等)

Lookout 分析师调查了 C2 基础设施,该基础设施因错误而暴露了一些管理面板和测试设备的 GPS 坐标,发现与中国国防承包商西安天河国防科技公司有联系。

新月光变种

从 2022 年 7 月开始,Lookout 研究人员注意到一项新的活动,该活动使用 50 个应用程序向受害者推送新版本的“Moonshine”间谍软件。

这些应用程序在维吾尔语 Telegram 频道上进行推广,流氓用户向其他成员推荐它们作为值得信赖的软件。

带有 Moonshine 的应用程序示例
携带 Moonshine 间谍软件的应用程序示例 (Lookout)

较新的恶意软件版本仍然是模块化的,其作者添加了更多模块来扩展该工具的监视功能。

Moonshine 从受感染设备中窃取的数据包括网络活动、IP 地址、硬件信息等。

Moonshine收集的信息
Moonshine (Lookout)收集的信息

该恶意软件支持的 C2 命令有:

  • 通话录音
  • 联系人集合
  • 从 C2 指定的位置检索文件
  • 收集设备位置数据
  • 泄露短信
  • 相机捕捉
  • 麦克风录音
  • 建立 SOCKS 代理
  • 收集微信数据

Lookout 发现新版 Moonshine 的作者是中国人的证据,因为代码注释和服务器端 API 文档都是用简体中文编写的。

“虽然 Lookout 研究人员无法将恶意软件客户端或基础设施连接到特定的技术公司,但恶意软件客户端是一个构建良好且功能齐全的监控工具,可能需要大量资源。” – 了望台

这份报告表明,尽管 国际人权保护组织发出强烈抗议,对中国少数民族的监视仍然有增无减。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 与中国网络间谍相关的新型BadBazaar Android恶意软件