Alat spyware Android yang sebelumnya tidak terdokumentasi bernama ‘BadBazaar’ telah ditemukan menargetkan etnis dan agama minoritas di China, terutama Uyghur di Xinjiang.
Uyghur, minoritas Muslim regional sekitar 13 juta orang, telah menderita penindasan ekstrim dari pemerintah Cina pusat karena penyimpangan budaya mereka dari nilai-nilai khas Cina timur.
Spyware baru ini awalnya ditemukan oleh Tim Pemburu Malware dan terkait dengan Bahamut dalam deteksi VirusTotal.
Setelah analisis lebih lanjut oleh Lookout, malware itu ditemukan sebagai spyware baru menggunakan infrastruktur yang sama seperti yang terlihat pada kampanye 2020 melawan Uyghur oleh kelompok peretas yang didukung negara. APT15 (alias “Harimau Kecil).
Selain itu, Lookout mengamati kampanye kedua menggunakan varian baru ‘Moonshine’, sebuah spyware yang ditemukan oleh CitizenLab pada 2019 saat dikerahkan melawan kelompok-kelompok Tibet.
Detail BadBazaar
Spyware BadBazaar telah menggunakan setidaknya 111 aplikasi berbeda sejak 2018 untuk menginfeksi Uyghur, mempromosikannya di saluran komunikasi yang dihuni oleh kelompok etnis tertentu.
Aplikasi yang ditiru mencakup berbagai kategori, dari kamus hingga teman praktik keagamaan dan dari pengoptimal baterai hingga pemutar video.
Lookout tidak menemukan bukti bahwa aplikasi ini pernah mencapai Google Play, toko aplikasi resmi Android, sehingga kemungkinan besar didistribusikan melalui toko pihak ketiga atau situs web berbahaya.
Menariknya, ada satu kasus aplikasi iOS di Apple App Store yang berkomunikasi dengan C2 berbahaya, namun tidak menampilkan fungsionalitas spyware, hanya mengirim UDID perangkat.
Kemampuan pengumpulan data BadBazaar meliputi:
- Lokasi yang tepat
- Daftar aplikasi yang diinstal
- Log panggilan dengan data geolokasi
- Daftar kontak
- SMS
- Info perangkat lengkap
- Info Wi-Fi
- Rekaman panggilan telepon
- Ambil foto
- Exfiltrate file atau database
- Akses folder dengan minat tinggi (gambar, log aplikasi IM, riwayat obrolan, dll.)
Melihat ke infrastruktur C2, yang memperlihatkan beberapa panel admin dan koordinat GPS perangkat uji karena kesalahan, analis Lookout menemukan koneksi ke kontraktor pertahanan China Xi’an Tian He Defense Technology.
Varian Moonshine baru
Mulai Juli 2022, peneliti Lookout melihat kampanye baru menggunakan 50 aplikasi yang mendorong versi baru spyware ‘Moonshine’ kepada korban.
Aplikasi ini dipromosikan di saluran Telegram berbahasa Uyghur, di mana pengguna nakal menyarankannya sebagai perangkat lunak yang dapat dipercaya oleh anggota lain.
Versi malware yang lebih baru masih bersifat modular, dan pembuatnya telah menambahkan lebih banyak modul untuk memperluas kemampuan pengawasan alat tersebut.
Data yang dicuri Moonshine dari perangkat yang disusupi termasuk aktivitas jaringan, alamat IP, info perangkat keras, dan banyak lagi.
Perintah C2 yang didukung oleh malware adalah:
- Rekaman panggilan
- Koleksi kontak
- Ambil file dari lokasi yang ditentukan oleh C2
- Kumpulkan data lokasi perangkat
- Mengekstrak pesan SMS
- Tangkapan kamera
- Rekaman mikrofon
- Tetapkan proxy SOCKS
- Kumpulkan data WeChat
Lookout telah menemukan bukti bahwa pembuat versi Moonshine yang baru adalah orang Cina, karena komentar kode dan dokumentasi API sisi server ditulis dalam bahasa Cina yang disederhanakan.
“Sementara peneliti Lookout tidak dapat menghubungkan klien malware atau infrastruktur ke perusahaan teknologi tertentu, klien malware adalah alat pengawasan yang dibangun dengan baik dan berfitur lengkap yang kemungkinan akan membutuhkan sumber daya yang substansial.” – Mencari.
Laporan ini menunjukkan bahwa pengawasan terhadap minoritas Tiongkok terus berlanjut meskipun ada teriakan dari internasional organisasi perlindungan hak asasi manusia.
