Gli hacker cinesi prendono di mira gli uiguri con più strumenti di sorveglianza Android

Gli hacker cinesi prendono di mira gli uiguri con più strumenti di sorveglianza Android

Per sette anni, un hacker cinese ha preso di mira la minoranza etnica uigura con diverse famiglie di malware, tra cui strumenti di sorveglianza Android recentemente identificati.

Gli attacchi dannosi incentrati sugli uiguri non sono nuovi, con molti di essi dettagliati pubblicamente nel corso degli anni, rivolti agli utenti di PC WindowsMac e dispositivi mobili.

Soprannominati SilkBean, DoubleAgent, CarbonSteal e GoldenEagle, le famiglie di malware recentemente identificate sembrano far parte di campagne mAPT più grandi (dispositivi mobili avanzati persistenti) che hanno comportato anche l'uso di famiglie di malware HenBoxPluginPhantomSpywaller e DarthPusher, basate su un'infrastruttura sovrapposta .

Gli attacchi sembrano collegati a campagne precedentemente dettagliate attribuite all'attore cinese GREF, noto anche come Playful Dragon, APT15, Vixen Panda, Ke3chang e Mirage.

Le campagne, che probabilmente risalgono al lontano 2013, hanno preso di mira anche i tibetani, ma in misura minore. Il targeting, tuttavia, non è sorprendente, poiché entrambe le comunità sono al centro dell'attività di "antiterrorismo" in Cina, osserva Lookout in un rapporto dettagliato.

Il malware utilizzato in questi attacchi è stato progettato per raccogliere ed esfiltrare informazioni personali e ciascuno degli strumenti mirati a raccogliere una serie specifica di dati. Alcuni strumenti erano applicazioni legittime di tipo trojan, mantenendo la funzionalità del software impersonato, ma aggiungendo al di sotto capacità dannose.

Le app di sorveglianza utilizzate in questa campagna sono state distribuite attraverso phishing mirati e portali di applicazioni false, affermano i ricercatori di Lookout.

SilkBean è in circolazione da almeno 4 anni e le app che lo trasportano sono specificamente destinate alla comunità uigura, nonostante i contenuti in-app in altre lingue. Progettate con ampie capacità di sorveglianza e fornendo anche agli aggressori il controllo remoto delle macchine compromesse, le app SilkBean possono ricevere circa 70 comandi dal server di comando e controllo (C&C).

Strumento avanzato di accesso remoto Android (RAT), DoubleAgent è in circolazione da almeno il 2013 ed è stato utilizzato "esclusivamente contro gruppi con relazioni controverse con il governo cinese". I campioni osservati nell'ultimo anno mostrano che l'attore delle minacce ha continuato a far evolvere il malware e l'infrastruttura a leva, pur mantenendo lo stesso target, sottolinea Lookout.

Monitorato dal 2017, CarbonSteal mostra sovrapposizioni di infrastrutture con HenBox, ma è meno sofisticato di quest'ultimo. Ad oggi, Lookout ha osservato oltre 500 campioni CarbonSteal, in grado di eseguire registrazioni audio, di controllare dispositivi infetti tramite messaggi SMS e di rispondere alle chiamate telefoniche degli aggressori, a scopo di sorveglianza audio.

GoldenEagle sembra progettato per colpire "principalmente uiguri e musulmani in generale, nonché tibetani, individui in Turchia e in Cina". Il primo campione identificato risale al 2012, mentre il più recente è dell'aprile 2020 e il codice del malware è stato trovato in una vasta gamma di applicazioni, suddivise in due categorie in base al metodo di esfiltrazione: su HTTP e SMTP.

Sulla base dei nomi e delle funzionalità delle app trojanizzate, la maggior parte dei campioni GoldenEagle si rivolge alla minoranza uigura: servizio musicale Sarkuy, sito di e-commerce Tawarim, tastiera di input uyhurqa kirgvzvx, app farmaceutica TIBBIYJAWHAR, Uyghur Quran e altri.

Campagne associate al mAPT sono state osservate anche al di fuori della Cina, tra cui Turchia, Kuwait e Siria. Nel complesso, l'attore delle minacce ha preso di mira almeno 14 paesi diversi, tra cui 12 che il governo cinese ha inserito in un elenco di "26 paesi sensibili".

Posted on