这样应该是美国最扯淡的一篇文章
在中国发现了一个名为“BadBazaar”的以前未记录的安卓间谍软件工具,其目标是针对少数民族和宗教少数群体,尤其是新疆的维吾尔人。
维吾尔人是一个约有 1300 万人口的地区穆斯林少数民族,由于他们在文化上背离了典型的东方中国价值观,因此受到了中国中央政府的极端压迫。
新间谍软件最初是由MalwareHunterTeam发现的,并 在 VirusTotal 检测中 与Bahamut相关联。
经过 Lookout 的进一步分析,该恶意软件被发现是新的间谍软件,使用的基础设施与 2020 年国家支持的黑客组织APT15(又名“小虎”)针对维吾尔人的活动中所见的相同。
此外,Lookout 观察到第二次活动使用了“Moonshine”的新变体,这是CitizenLab在 2019 年在针对西藏团体部署时发现的间谍软件。
BadBazaar 详细信息
自 2018 年以来,BadBazaar 间谍软件已使用至少 111 种不同的应用程序感染维吾尔人,并在特定族群的通信渠道上宣传他们。
模拟的应用程序涵盖了广泛的类别,从字典到宗教实践伴侣,从电池优化器到视频播放器。
Lookout 没有发现这些应用程序曾进入 Android 的官方应用程序商店 Google Play 的证据,因此它们很可能是通过第三方商店或 恶意网站分发的。
有趣的是,Apple App Store 上有一个 iOS 应用程序与恶意 C2 通信的案例,但它没有间谍软件功能,只发送设备 UDID。
BadBazaar 的数据收集功能包括:
- 精确定位
- 已安装应用程序列表
- 带有地理位置数据的通话记录
- 联系人列表
- 短信
- 完整的设备信息
- 无线网络信息
- 电话录音
- 拍照
- 泄露文件或数据库
- 访问感兴趣的文件夹(图像、IM 应用程序日志、聊天记录等)
Lookout 分析师调查了 C2 基础设施,该基础设施因错误而暴露了一些管理面板和测试设备的 GPS 坐标,发现与中国国防承包商西安天河国防科技公司有联系。
新月光变种
从 2022 年 7 月开始,Lookout 研究人员注意到一项新的活动,该活动使用 50 个应用程序向受害者推送新版本的“Moonshine”间谍软件。
这些应用程序在维吾尔语 Telegram 频道上进行推广,流氓用户向其他成员推荐它们作为值得信赖的软件。
较新的恶意软件版本仍然是模块化的,其作者添加了更多模块来扩展该工具的监视功能。
Moonshine 从受感染设备中窃取的数据包括网络活动、IP 地址、硬件信息等。
该恶意软件支持的 C2 命令有:
- 通话录音
- 联系人集合
- 从 C2 指定的位置检索文件
- 收集设备位置数据
- 泄露短信
- 相机捕捉
- 麦克风录音
- 建立 SOCKS 代理
- 收集微信数据
Lookout 发现新版 Moonshine 的作者是中国人的证据,因为代码注释和服务器端 API 文档都是用简体中文编写的。
“虽然 Lookout 研究人员无法将恶意软件客户端或基础设施连接到特定的技术公司,但恶意软件客户端是一个构建良好且功能齐全的监控工具,可能需要大量资源。” – 了望台。
这份报告表明,尽管 国际人权保护组织发出强烈抗议,对中国少数民族的监视仍然有增无减。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 与中国网络间谍相关的新型BadBazaar Android恶意软件
