Se han encontrado dos campañas de vigilancia de larga duración dirigidas a la comunidad uigur en China y en otros lugares con herramientas de software espía de Android diseñadas para recopilar información confidencial y rastrear su paradero.
Esto abarca una cepa de malware previamente no documentada llamada BadBazaar y variantes actualizadas de un artefacto de espionaje denominado LUZ DE LA LUNA por investigadores del Citizen Lab de la Universidad de Toronto en septiembre de 2019.
«Las herramientas de vigilancia móvil como BadBazaar y MOONSHINE se pueden usar para rastrear muchas de las actividades ‘predelictivas’, acciones consideradas indicativas de extremismo religioso o separatismo por las autoridades en Xinjiang», dijo Lookout. dijo en una detallada redacción de las operaciones.
Se dice que la campaña BadBazaar, según la firma de seguridad, se remonta a fines de 2018 y comprende 111 aplicaciones únicas que se hacen pasar por reproductores de video benignos, mensajeros, aplicaciones religiosas e incluso TikTok.
Si bien estas muestras se distribuyeron a través de plataformas de redes sociales y canales de comunicación en idioma uigur, Lookout señaló que encontró una aplicación de diccionario llamada «Uyghur Lughat» en la tienda de aplicaciones de Apple que se comunica con un servidor utilizado por su contraparte de Android para recopilar información básica del iPhone.
la aplicación iOS continúa estar disponible en la App Store.
«Dado que las variantes de BadBazaar a menudo adquieren sus capacidades de vigilancia al descargar actualizaciones de sus [command-and-control server]es posible que el actor de amenazas espere actualizar más tarde la muestra de iOS con una funcionalidad de vigilancia similar», señalaron los investigadores.
BadBazaar, una vez instalado, viene con varias funciones que le permiten recopilar registros de llamadas, ubicaciones de GPS, mensajes SMS y archivos de interés; grabar llamadas telefónicas; tomar fotografías; y filtrar metadatos sustanciales del dispositivo.
Un análisis más detallado de la infraestructura de BadBazaar ha revelado superposiciones con otra operación de spyware dirigida a la minoría étnica que salió a la luz en julio de 2020 y que hizo uso de un conjunto de herramientas de Android llamado Agente doble.
Los ataques que emplean MOONSHINE, en una línea similar, han empleado más de 50 aplicaciones maliciosas desde julio de 2022 que están diseñadas para acumular datos personales de los dispositivos infectados, además de grabar audio y descargar archivos arbitrarios.
«La mayoría de estas muestras son versiones con troyanos de plataformas de redes sociales populares, como WhatsApp o Telegram, o versiones con troyanos de aplicaciones culturales musulmanas, herramientas en idioma uigur o aplicaciones de oración», dijeron los investigadores.
Las actividades cibernéticas maliciosas anteriores que aprovechan el kit de software espía MOONSHINE Android se han atribuido a un actor de amenazas rastreado como POISON CARP (también conocido como Evil Eye o Earth Empusa), un colectivo de estado-nación con sede en China conocido por sus ataques contra los uigures.
Los hallazgos se producen poco más de un mes después de que Check Point revelara detalles de otra operación de software de vigilancia de larga data dirigida a la comunidad musulmana turca que implementó un troyano llamado MobileOrder desde al menos 2015.
«BadBazaar y estas nuevas variantes de MOONSHINE se suman a la ya extensa colección de software de vigilancia único que se utiliza en campañas para vigilar y, posteriormente, detener a personas en China», dijo Lookout.
«La amplia distribución de BadBazaar y MOONSHINE, y la velocidad a la que se han introducido nuevas funciones indican que el desarrollo de estas familias está en curso y que existe una demanda continua de estas herramientas».
El desarrollo también sigue a un informe de Google Project Zero la semana pasada, que descubierto evidencia de un proveedor de vigilancia comercial anónimo que usa como arma tres fallas de seguridad de día cero en teléfonos Samsung con un chip Exynos que ejecuta la versión 4.14.113 del kernel. Los agujeros de seguridad fueron atascado por Samsung en marzo de 2021.
Dicho esto, el gigante de las búsquedas dijo que la explotación reflejó un patrón similar a los compromisos recientes en los que se abusó de las aplicaciones maliciosas de Android para apuntar a usuarios en Italia y Kazajstán con un implante conocido como Hermit, que se ha vinculado a la empresa italiana RCS Lab.