Laut einem neuen Bericht der Cloud-Sicherheitsfirma haben Cybersicherheitsforscher eine Spyware-Kampagne entdeckt, die auf Uiguren abzielt, indem sie sich als Android-Apps „maskiert“, darunter Messaging-Dienste, Gebetszeit-Apps und Wörterbücher Achtung.
Die Spyware, von der Forscher sagen, dass sie mit einer von der chinesischen Regierung unterstützten Hacking-Gruppe verbunden ist, kann verwendet werden, um Personen zu verfolgen, die Dienste nutzen, die als „Vorkriminalität“ angesehen werden oder von China als Anzeichen dafür angesehen werden, dass sich jemand daran beteiligt oder dies tun wird sich an religiösen extremistischen oder separatistischen Aktivitäten beteiligen. Aktivitäten vor der Kriminalität umfassen die Nutzung eines virtuellen privaten Netzwerks (VPN) oder das Teilen jeglicher Art von religiösen Inhalten und können zur Inhaftierung in einem Umerziehungslager führen.
Die Überwachungskampagne richtet sich dem Bericht zufolge hauptsächlich gegen Uiguren in China, aber es gibt auch Hinweise darauf, dass die Hintermänner der Kampagne Uiguren in mehrheitlich muslimischen Ländern wie Afghanistan oder der Türkei ins Visier nehmen wollten. Die Türkei ist Heimat der größten uigurischen Diaspora außerhalb Zentralasiens mit schätzungsweise 50.000 dort lebenden Uiguren.
Chinas Massenüberwachungsapparat und seine Angriffe auf Uiguren wurden in den letzten Jahren gut dokumentiert. Mehrere chinesische Überwachungs- und Kameraunternehmen wurden wegen Komplizenschaft bei Menschenrechtsverletzungen auf die Liste der US-Unternehmen gesetzt. Einige dieser Firmen haben Patente für Funktionen angemeldet, entwickelt oder geplant, diese zu entwickeln, die es ihnen ermöglichen würden, jemanden zu erkennen oder Warnungen einzurichten, wenn jemand infiziert ist Uiguren werden erkannt. Die UN hat auch festgestellt, dass China verantwortlich ist für „schwere Menschenrechtsverletzungen“ gegen Uiguren in Xinjiang.
In einer Erklärung gegenüber Bloomberg sagte Liu Pengyu, Sprecher der chinesischen Botschaft in Washington: „Wir lehnen wilde Vermutungen und böswillige Beleidigungen gegen China ab“, und das Land lehne „alle Formen von Cyberangriffen“ ab.
Forscher sagen, dass viele der Apps mit dieser Spyware, die sie Badbazaar nennen, Gerätedaten einschließlich des Standorts sammeln; Kontakte; Anrufprotokolle; WLAN-Informationen; und kann auch Telefongespräche aufzeichnen und Fotos machen. Die Forscher fanden auch heraus, dass neuere Iterationen von Moonshine, einem Android-Exploit, der erstmals 2019 von der Forschungsgruppe Citizen Lab der University of Toronto entdeckt wurde, Spyware in beliebte Apps wie WhatsApp und Telegram sowie „Versionen von muslimischen Kultur-Apps, Tools in uigurischer Sprache“ implementieren , oder Gebets-Apps“.
Die Android-Apps, die bestehende Dienste nachahmen, sind normalerweise in inoffiziellen App-Stores zu finden, da Google Play laut dem Bericht in China gesperrt ist, und werden auch über Messaging-Dienste wie Telegram verbreitet.
Kristina Balaam, eine Forscherin für Bedrohungsinformationen bei Lookout, sagte, dies sei eine der ausgeklügelteren „Malware-Familien“, die sie gesehen hätten, da die Apps, die sie entweder selbst erstellten oder infizierten, nicht nur umfangreiche Daten über Personen sammelten, sondern auch voll funktionsfähig seien.
„Selbst Fälle, in denen der Angreifer eine benutzerdefinierte Anwendung erstellt hat, wie z. B. einen App-Store eines Drittanbieters, von dem er behauptet, dass Sie ihn herunterladen können, sagen wir, ein Wörterbuch für juristische Sprachen oder andere Übersetzungstools oder Gebetsanwendungen, sind sie tatsächlich vollständig erstellt. Bewerbungen aus,“ sagte Bileam.
„Oder im Fall einer trojanisierten Version von Telegram können Sie sich mit Ihrem tatsächlichen Telegram-Konto anmelden, weil es wirklich Telegram ist“, fuhr sie fort. „Es wurde gerade vom Angreifer mit einem Trojaner versehen, um auch Überwachungsfunktionen auf Ihrem Gerät zu installieren und Informationen darüber zu sammeln, mit wem Sie sprechen, Ihre Kontakte, Fotos und GPS-Daten.“
Die Bedrohungsakteure – böswillige Gruppen oder Einzelpersonen, die für die Sicherheitsbedrohungen verantwortlich sind – können dies tun, indem sie „denselben Quellcode der legitimen App“ verwenden, um die gefälschte App zu erstellen, „sie kommuniziert immer noch mit dem Server und lässt Sie sich anmelden, “ sagte Bileam.
Ein Telegram-Sprecher, Remi Vaughn, sagte, Telegram sei nicht kompromittiert worden und der Bericht beziehe sich auf bösartige Apps, die vorgaben, offiziell zu sein.
„Es ist Telegram oder einer anderen App nicht möglich, Benutzer zu schützen, wenn sie Apps von inoffiziellen App-Stores oder Websites von Drittanbietern herunterladen“, sagte Vaughn in einer Erklärung.
Balaam stimmte zu, dass Unternehmen wenig tun könnten, um diese Bedrohungsakteure auszuschalten, „weil sie dazu neigen, recht flink zu sein, wenn sie auf neue Plattformen umschwenken, um diese Malware zu verbreiten“.
„Ich denke, eines der Dinge, die wir als Verbraucher leider einfach tun müssen, ist, besonders vorsichtig mit den Anwendungen zu sein, die wir herunterladen“, sagte sie. „Es ist schwierig, wenn Sie sich in China befinden, weil Sie keinen Zugriff auf einige der offiziellen App-Stores wie Google Play haben. Ansonsten ist es ziemlich wichtig, keine Anwendungen aus sozialen Medien herunterzuladen oder Anwendungen, die über so etwas wie einen dieser Telegrammkanäle geteilt werden.“