BadBasar

BadBazaar ist eine bisher unbekannte mobile Bedrohung, die speziell darauf ausgelegt ist, Android-Geräte zu infizieren. Die Bedrohung ist größtenteils mit Spyware-Fähigkeiten ausgestattet und scheint hauptsächlich auf ethnische oder religiöse Minderheiten in China abzuzielen. Seine prominentesten Ziele sind die Uiguren im autonomen Gebiet Xinjiang. Internationalen Berichten zufolge ist die uigurische Minderheit von der chinesischen Regierung extremer Unterdrückung und potenziellen Menschenrechtsverletzungen ausgesetzt.

Die BadBazaar-Bedrohung wurde zuerst von Cybersicherheitsexperten entdeckt, aber weitere Details wurden in einem Bericht von anderen Forschern bereitgestellt. Ihren Erkenntnissen zufolge nutzten die Betreiber von BadBazaar dieselbe Infrastruktur, die Teil von Angriffskampagnen gegen die Uiguren war, die von der cyberkriminellen Gruppe APT15 (auch bekannt als Ke3chang und Pitty Tiger) im Jahr 2020 durchgeführt wurden. Durch die Analyse ihres Command-and-Control (C2, C&C)-Infrastruktur konnten die Experten mehrere Verbindungen zum Unternehmen Xi'an Tian He Defense Technology, einem chinesischen Rüstungsunternehmen, entdecken.

Verteilungs- und Bedrohungsfähigkeiten

Die mobile Bedrohung BadBazaar wurde hauptsächlich über bewaffnete Anwendungen verbreitet. Forscher schätzen, dass seit 2018 mindestens 111 Bedrohungsanwendungen verwendet wurden, um uigurische Ziele zu infizieren. Die Anwendungen stammen aus einer Vielzahl von Kategorien - von Batterieoptimierern und Videoplayern bis hin zu religiösen Anwendungen und Wörterbüchern. Die schädlichen Anwendungen konnten die Sicherheit des offiziellen Google Play Store nicht umgehen, was darauf hindeutete, dass sie hauptsächlich über Anwendungsplattformen von Drittanbietern und beschädigte Websites gehostet und verbreitet wurden.

Nach der Aktivierung auf dem infizierten Gerät beginnt BadBazaar damit, verschiedene sensible Informationen zu sammeln und an seine C2-Infrastruktur zu übertragen. Die erhaltenen Daten umfassen eine Liste aller auf dem verletzten Gerät installierten Anwendungen, seine Geolokalisierung, Kontaktlisten, SMS, WLAN-Details und mehr. Die Angreifer könnten BadBazaar verwenden, um Anrufprotokolle mit den zugehörigen Geolokalisierungsdaten zu erhalten, Telefongespräche aufzuzeichnen, beliebige Fotos zu machen oder ausgewählte Dateien zu exfiltrieren. Die Malware könnte auch angewiesen werden, auf Ordner zuzugreifen, die normalerweise zum Speichern hochsensibler Informationen wie Bilder, Chat-Anwendungsnachrichten, Chat-Verlauf und mehr verwendet werden.