BadBazar

BadBazaar est une menace mobile jusque-là inconnue conçue pour infecter spécifiquement les appareils Android. La menace est principalement équipée de capacités de logiciels espions et semble cibler principalement les minorités ethniques ou religieuses en Chine. Ses cibles les plus importantes sont les Ouïghours situés dans le territoire autonome du Xinjiang. La minorité ouïghoure a été soumise à une oppression extrême et à des violations potentielles des droits de l'homme de la part du gouvernement chinois, selon des rapports internationaux.

La menace BadBazaar a été découverte pour la première fois par des experts en cybersécurité, mais des détails supplémentaires ont été fournis dans un rapport d'autres chercheurs. Selon leurs conclusions, les opérateurs de BadBazaar utilisaient la même infrastructure qui faisait partie des campagnes d'attaque contre les Ouïghours menées par le groupe cybercriminel APT15 (également connu sous le nom de Ke3chang et Pitty Tiger) en 2020. En analysant son Command-and-Control (C2, C&C), les experts ont pu découvrir plusieurs connexions avec la société Xi'an Tian He Defence Technology, un entrepreneur de défense chinois.

Capacités de distribution et de menace

La menace mobile BadBazaar s'est principalement propagée via des applications militarisées. Les chercheurs estiment que depuis 2018, au moins 111 applications de menace ont été utilisées pour infecter des cibles ouïghoures. Les applications appartiennent à un large éventail de catégories - des optimiseurs de batterie et des lecteurs vidéo aux applications religieuses et aux dictionnaires. Les applications nuisibles n'ont pas pu contourner la sécurité du Google Play Store officiel, ce qui a suggéré qu'elles étaient principalement hébergées et diffusées via des plateformes d'applications tierces et des sites Web corrompus.

Une fois activé sur l'appareil infecté, BadBazaar commencera à collecter diverses informations sensibles et à les transmettre à son infrastructure C2. Les données obtenues comprennent une liste de toutes les applications installées sur l'appareil piraté, sa géolocalisation, ses listes de contacts, ses SMS, ses détails WiFi, etc. Les attaquants pourraient utiliser BadBazaar pour obtenir des journaux d'appels avec les données de géolocalisation associées, enregistrer des appels téléphoniques, prendre des photos arbitraires ou exfiltrer des fichiers choisis. Le logiciel malveillant peut également être invité à accéder aux dossiers généralement utilisés pour stocker des informations hautement sensibles, telles que des images, des messages d'application de chat, l'historique des discussions, etc.