Chinesische Spyware entdeckt

Sicherheitsanalysten von Lookout Threat Lab haben zwei neue Überwachungskampagnen aufgedeckt, die sich gegen die unterdrückte Minderheit der Uiguren in der Volksrepublik China und im Ausland richten. Die Spyware-Kampagne führt ein neuartiges Android-Überwachungstool ein, das Lookout BadBazaar nennt und das die Infrastruktur mit anderen zuvor entdeckten, auf Uiguren ausgerichteten Tools, teilt.

Obwohl es seit Jahren Überwachungs- und Inhaftierungskampagnen gegen Uiguren und andere türkischstämmige ethnische Minderheiten gibt, hat dieses Thema nach einem kritischen Bericht der UN-Menschenrechtskommissarin, Michelle Bachelet, im August 2022 verstärkte internationale Aufmerksamkeit erlangt. In dem Bericht wurde darauf hingewiesen, dass China bei der Behandlung der Uiguren in der Region Xinjiang möglicherweise Verbrechen gegen die Menschlichkeit begangen hat. Am 31. Oktober 2022 legten 50 Länder der UN-Generalversammlung eine gemeinsame Erklärung vor, in der sie ihre Besorgnis über die „anhaltenden Menschenrechtsverletzungen an Uiguren und anderen überwiegend muslimischen Minderheiten in China zum Ausdruck brachten.

Mobile Überwachungstools wie BadBazaar und MOONSHINE können verwendet werden, um viele der „vorkriminellen“ Aktivitäten zu verfolgen, also Handlungen, die von den Behörden in Xinjiang als Anzeichen für religiösen Extremismus oder Separatismus angesehen werden. Zu den Aktivitäten, die dazu führen können, dass ein Nutzer inhaftiert wird, gehören die Nutzung eines VPN, die Kommunikation mit praktizierenden Muslimen im Ausland, die Nutzung religiöser Apps und die Nutzung bestimmter Messaging-Apps wie WhatsApp, die außerhalb Chinas beliebt sind. BadBazaar und diese neuen Varianten von MOONSHINE ergänzen die bereits umfangreiche Sammlung einzigartiger Überwachungsprogramme, die in Kampagnen zur Überwachung und anschließenden Festnahme von Personen in China eingesetzt werden. Ihre kontinuierliche Entwicklung und ihre Verbreitung auf uigurischsprachigen Social-Media-Plattformen deuten darauf hin, dass diese Kampagnen fortgesetzt werden und dass die Angreifer erfolgreich uigurische Online-Communities infiltriert haben, um ihre Malware zu verbreiten.

BadBazaar

Ende 2021 stießen Lookout-Forscher auf einen Tweet des Twitter-Handles @MalwareHunterTeam, das sich auf eine Englisch-Uigurisch-Wörterbuch-App bezog, die von VirusTotal-Mitarbeitern als Malware gekennzeichnet worden war. Diese steht mit Bahamut, in Verbindung, einem Akteur, der hauptsächlich im Nahen Osten aktiv ist. Bei der Analyse dieser Probe wurde deutlich, dass diese Malware stattdessen mit Überwachungskampagnen in Verbindung steht, die auf Uiguren und andere türkische ethnische Minderheiten in China und im Ausland abzielen. Überlappende Infrastrukturen und TTPs deuten darauf hin, dass diese Kampagnen mit APT15 verbunden sind, einer von China unterstützten Hackergruppe, die auch als VIXEN PANDA und NICKEL bekannt ist. Lookout hat diese Malware-Familie BadBazaar genannt, als Reaktion auf eine frühe Variante, die sich als App-Store eines Drittanbieters mit dem Namen „APK Bazar“ ausgab. Bazar ist eine weniger bekannte Schreibweise von Bazaar.

Lookout hat seither 111 einzigartige Samples der BadBazaar-Überwachungssoftware erfasst, die bis Ende 2018 zurückreichen. Mehr als 70 Prozent dieser Apps wurden in uigurischsprachigen Kommunikationskanälen in der zweiten Hälfte des Jahres 2022 gefunden. Die Malware tarnt sich in erster Linie als eine Vielzahl von Android-Apps, wie z. B. Akku-Manager, Video-Player, Radio-Apps, Messaging-Apps, Wörterbücher und religiöse Apps. Die Forscher haben auch Fälle von Apps gefunden, die vorgeben, ein harmloser App-Store eines Drittanbieters für Uiguren zu sein.

Die Kampagne scheint in erster Linie auf Uiguren in China abzuzielen. Die Forscher fanden jedoch Hinweise auf eine breitere Ausrichtung auf Muslime und Uiguren außerhalb von Xinjiang. So gaben sich mehrere der von uns analysierten Samples als Karten-Apps für andere Länder mit einer großen muslimischen Bevölkerung aus, wie die Türkei oder Afghanistan. Sie fanden auch heraus, dass eine kleine Untergruppe von Apps im Google Play Store eingereicht wurde, was darauf hindeutet, dass der Angreifer daran interessiert war, Android-Gerätebenutzer außerhalb Chinas zu erreichen, wenn möglich. Offensichtlich wurden die in diesem Artikel beschriebenen Apps nie über Google Play verbreitet.

Während Lookout nur BadBazaar beobachtet hat, das sich als Android-App tarnt, haben die Forscher im Apple App Store eine gutartige App gefunden, die mit einem Command-and-Control-Server (C2) kommuniziert. Dieser wird von einem entsprechenden Android-BadBazaar-Sample verwendet, um grundlegende iPhone-Geräteinformationen zu sammeln. Diese iOS-App mit dem identischen Namen „Uyghur Lughat“ und Symbol enthielt nicht die gleichen Überwachungsfunktionen, sondern sendet den Unique Device Identifier (UDID) des Geräts, den Gerätenamen und die Systemversion an den C2. Da BadBazaar-Varianten ihre Überwachungsfunktionen häufig durch das Herunterladen von Updates von ihrem C2 erhalten, ist es möglich, dass der Angreifer hofft, das iOS-Sample später mit ähnlichen Überwachungsfunktionen aktualisieren zu können.

Überwachungsfähigkeiten

BadBazaar scheint in einem iterativen Prozess entwickelt worden zu sein. Frühe Varianten bündelten eine Nutzlast, update.jar, innerhalb der Android-APK-Datei und luden sie, sobald die App gestartet wurde. Später wurde dieser Prozess aktualisiert, um Samples mit begrenzten Überwachungsfunktionen innerhalb der APK selbst zu produzieren. Die Malware verlässt sich stattdessen auf die Fähigkeit der App, sich selbst durch einen Anruf bei ihrem C2-Server zu aktualisieren. In seiner jüngsten Version bezieht BadBazaar seine Nutzlast jedoch ausschließlich durch das Herunterladen einer Datei vom C2-Server an Port 20121 und deren Speicherung im Cache-Verzeichnis der App.

Das Android-Überwachungstool ist in der Lage, umfangreiche Gerätedaten zu sammeln. Während einige Varianten nicht über umfangreiche Überwachungsfunktionen verfügen, sammeln viele die folgenden Details:

• Standort (Breiten- und Längengrad)
• Liste der installierten Pakete
• Anrufprotokolle und geocodierter Standort in Verbindung mit dem Anruf
• Kontaktinformationen
• Installierte Android-Apps
• SMS-Informationen
• Umfangreiche Geräteinformationen, einschließlich Modell, Sprache, IMEI, IMSI, ICCID (SIM-Seriennummer), Telefonnummer, Zeitzone und zentralisierte Registrierung der Online-Konten des Benutzers
• WLAN-Informationen (verbunden oder nicht, und wenn verbunden, IP, SSID, BSSID, MAC, Netzmaske, Gateway, DNS1, DNS2)
• Telefongespräche aufzeichnen
• Bilder aufnehmen
• Daten und Datenbankdateien aus dem Verzeichnis SharedPreferences der trojanisierten Anwendung
• Abrufen einer Liste von Dateien auf dem Gerät, die auf .ppt, .pptx, .docx, .xls, .xlsx, .doc oder .pdf enden
• Ordner von Interesse, die dynamisch vom C2-Server angegeben werden, einschließlich Bilder von der Kamera und Screenshots, Anhänge von Telegram, Whatsapp, GBWhatsapp, TalkBox, Zello, Protokolle und Chatverläufe

Aktuelle Spionage-Kampagnen, die auf Uiguren abzielen

Seit Juli 2022 haben Lookout-Forscher mehr als 50 einzigartige Muster von MOONSHINE entdeckt, die sich von den früheren Varianten unterscheiden. Die Geschwindigkeit, mit der neue Samples bereitgestellt werden, deutet darauf hin, dass diese Kampagnen fortgesetzt werden. Bei den meisten dieser Samples handelt es sich um trojanisierte Versionen von beliebten Social-Media-Plattformen wie WhatsApp oder Telegram oder um trojanisierte Versionen von muslimischen Kultur-Apps, uigurischsprachigen Tools oder Gebets-Apps.

Die Lookout vorliegenden MOONSHINE-Samples stammen aus mehreren uigurischsprachigen Kommunikationskanälen, von denen einige Hunderte von Mitgliedern haben. Viele der in diesen Kanälen geteilten Apps wurden als Antwort auf Anfragen nach App-Vorschlägen gepostet, wie z. B. Android-Apps, die einen Offline-Kartenzugriff ermöglichen. Gelegentlich teilten Nutzer eine App ohne Kontext, aber viele versuchten, ihren Beitrag mit Kommentaren zu legitimieren wie „Das ist die Anwendung, die ich benutze“ oder „Ich habe eine App, die in der Türkei sehr praktisch ist. Ich weiß nicht, wie es in anderen Ländern ist; probier es aus.“

In Telegram-Kanälen werden gelegentlich Überwachungs-Apps diskutiert, die geteilt wurden, und andere uigurischsprachige Konten, die beschuldigt wurden, „von chinesischen staatlichen Überwachungsunternehmen kontrolliert zu werden“. Meistens scheinen die Nutzer jedoch bereit zu sein, Apps herunterzuladen, die von anderen innerhalb des Kanals geteilt werden.

Während frühere Varianten des MOONSHINE-Clients versuchten, durch das Ausnutzen anderer Apps durch Ersetzen ihrer nativen Bibliotheken Persistenz und Zugriff auf umfassende Berechtigungen zu erlangen, fordern die neuesten Samples weder umfassende Berechtigungen vom Benutzer bei der Installation an noch versuchen sie, die nativen Bibliotheksdateien in Messaging-Apps zu ersetzen. Der „Score“-Parameter scheint eine Art Indikator zu sein, der es dem Angreifer ermöglicht, zu entscheiden, wie er mit dem Zielgerät verfahren will.

Nachdem die Verbindung mit dem C2 hergestellt wurde, kann der Client Befehle vom Server empfangen, um eine Reihe von Funktionen auszuführen, die von der für das Gerät generierten Punktzahl abhängen. Der Malware-Client ist in der Lage:

• Aufzeichnung von Anrufen
• Sammeln von Kontakten
• Abrufen von Dateien von einem vom C2 angegebenen Ort
• Sammeln von Gerätestandortdaten
• Exfiltrieren von SMS-Nachrichten
• Kameraerfassung
• Aufzeichnung von Mikrofonen
• Einrichten eines SOCKS-Proxys
• Sammeln von WeChat-Daten aus Tencent wcdb-Datenbankdateien

Die Kommunikation wird über einen sicheren Websocket gesendet und zusätzlich vor der Übertragung mit einer benutzerdefinierten Methode namens „serialize()“ verschlüsselt, die derjenigen ähnelt, die zur Verschlüsselung der Konfigurationsdatei SharedPreferences verwendet wird.

Umfassende Überwachung der uigurischen Bevölkerung Chinas geht weiter

Trotz des zunehmenden internationalen Drucks werden chinesische Akteure, die im Auftrag des chinesischen Staates agieren, wahrscheinlich weiterhin Überwachungsprogramme für uigurische und muslimische Nutzer von Mobilgeräten über uigurischsprachige Kommunikationsplattformen verbreiten. Die weite Verbreitung von BadBazaar und MOONSHINE und die Geschwindigkeit, mit der neue Funktionen eingeführt wurden, deuten darauf hin, dass die Entwicklung dieser Familien fortgesetzt wird und dass es eine anhaltende Nachfrage nach diesen Tools gibt.

Benutzer von Mobilgeräten in diesen Gemeinschaften müssen besonders vorsichtig sein, wenn sie Apps über soziale Medien verbreiten. Benutzer von Mobilgeräten außerhalb Chinas sollten nur Apps aus offiziellen App-Stores wie Google Play oder dem Apple App Store herunterladen. Nutzer von Lookout-Sicherheits-Apps sind vor diesen Bedrohungen geschützt. Wenn Benutzer glauben, dass sie ein Ziel von mobiler Überwachung sind oder weitere Informationen zu diesen Kampagnen benötigen, können sie sich die Services von Lookout Threat Intelligence ansehen oder sich an die Forscher von Lookout wenden.