Θιβετιανοί, Ουιγούροι και Ταϊβανέζοι ιδιώτες και οργανισμοί είναι οι στόχοι μιας επίμονης εκστρατείας που ενορχηστρώθηκε από έναν κακόβουλο παράγοντα με την κωδική ονομασία EvilBamboo για τη συλλογή ευαίσθητων πληροφοριών.
Δείτε επίσης: HTX: Το Crypto Exchange έχασε 8 εκατομμύρια δολάρια Ether λόγω hack
Η ομάδα hacking EvilBamboo, που στο παρελθόν είχε εντοπιστεί με το όνομα Evil Eye, έχει συνδεθεί με πολλά κύματα επιθέσεων από το 2019, με την ομάδα να εκμεταλλεύεται επιθέσεις watering hole για την παράδοση κακόβουλου λογισμικού που στοχεύει σε συσκευές Android και iOS. Είναι επίσης γνωστή ως Earth Empusa και POISON CARP.
Δείτε επίσης: Οι ερευνητές αποκαλύπτουν μια ακμάζουσα παραοικονομία για malware που στοχεύει συσκευές IoT
Οι χάκερ που στρέφονται κατά του λειτουργικού συστήματος της Apple για κινητά χρησιμοποιήσαν μια ευπάθεια στη μηχανή του προγράμματος περιήγησης WebKit που είχε επιδιορθωθεί από την Apple στις αρχές του 2019 για να παραδώσουν ένα στέλεχος spyware που ονομάζεται Insomnia. Η Meta, τον Μάρτιο του 2021, δήλωσε ότι εντόπισε τον κακόβουλο παράγοντα που έκανε κατάχρηση των πλατφορμών της για τη διανομή κακόβουλων ιστοσελίδων που φιλοξενούν το malware.
Η ομάδα είναι επίσης γνωστή για τη χρήση Android malware, όπως το ActionSpy και το PluginPhantom, για τη συλλογή πολύτιμων δεδομένων από τις παραβιασμένες συσκευές, υπό το πρόσχημα λεξικού, πληκτρολογίου και εφαρμογών προσευχής που προσφέρονται σε καταστήματα εφαρμογών τρίτων.
Τα πιο πρόσφατα ευρήματα από την Volexity αποδίδουν στην EvilBamboo τρία νέα εργαλεία κατασκοπείας για το Android, τα οποία ονομάζονται BADBAZAAR, BADSIGNAL και BADSOLAR, με το πρώτο από αυτά να έχει τεκμηριωθεί από τη Lookout τον Νοέμβριο του 2022.
Μια επόμενη έκθεση τον περασμένο μήνα από την ESET αναλύει δύο trojanized app που παριστάνουν τα Signal και Telegram στο Google Play Store για να πείσουν τους χρήστες να εγκαταστήσουν το BADSIGNAL. Ενώ η Σλοβακική εταιρεία κυβερνοασφάλειας ανέθεσε τα πλαστά προγράμματα στην οικογένεια BADBAZAAR, αναφέροντας παρόμοιες κωδικοποιητικές ομοιότητες, η Volexity ανέφερε πως “εμφανίζονται επίσης να διαφέρουν στην ανάπτυξη και τη λειτουργικότητά τους”.
Οι αλυσίδες επιθέσεων που χρησιμοποιούνται για τη διανομή των οικογενειών κακόβουλων λογισμικών περιλαμβάνουν τη χρήση φόρουμ κοινής χρήσης APK, ψεύτικων ιστότοπων που διαφημίζουν το Signal, το Telegram και το WhatsApp, καναλιών Telegram που είναι αφιερωμένα στην κοινή χρήση εφαρμογών Android και ένα σύνολο ψεύτικων προφίλ στο Facebook, στο Instagram, στο Reddit, στο X (πρώην Twitter) και στο YouTube.
Ένα από τα κανάλια στο Telegram, λέγεται ότι περιείχε έναν σύνδεσμο προς μια εφαρμογή για το iOS με το όνομα TibetOne, η οποία δεν είναι πλέον διαθέσιμη στο App Store.
Μηνύματα που κοινοποιούνται μέσω των ομάδων της Telegram έχουν χρησιμοποιηθεί επίσης για τη διανομή εφαρμογών που έχουν προσβληθεί με τον κακόβουλο κώδικα BADSOLAR, καθώς και για παγίδευση συνδέσμων που, όταν επισκέπτεστε, εκτελούν κακόβουλο JavaScript για τον προσδιορισμό και αποτύπωση του συστήματος.
Ενώ το BADBAZAAR χρησιμοποιείται κυρίως για να στοχεύσει τους Ουιγούρους και άλλα άτομα της Μουσουλμανικής θρησκείας, το BADSOLAR φαίνεται να χρησιμοποιείται κυρίως με εφαρμογές που έχουν θιβετιανή θεματολογία. Ωστόσο, και οι δύο μορφές ενσωματώνουν τις κακόβουλες δυνατότητές τους με τη μορφή μιας δεύτερης φάσης που ανακτάται από έναν remote server.
Το second-stage malware του BADSOLAR είναι επίσης μια παραλλαγή ενός ανοιχτού κώδικα remote access trojan σε Android που ονομάζεται AndroRAT. Αντίθετα, το BADSIGNAL περιλαμβάνει όλες τις λειτουργίες συλλογής πληροφοριών στο κύριο πακέτο της.
Πηγή πληροφοριών: thehackernews.com
