Бесплатно Экспресс-аудит сайта:

12.11.2022

Lookout: китайское шпионское ПО обнаружено в приложениях на уйгурском языке

Согласно исследованию компании Lookout, почти 30% приложений для Android на уйгурском языке, размещенных в социальных сетях или загруженных из сторонних магазинов с июля этого года, заражены двумя новыми вредоносными программами, которые позволяют хакерам получать доступ к личным фотографиям, сообщениям и контактам.

Исследователь Lookout Кристина Балаам отметила, что различные виды вредоносных программ направлены на уйгуров с целью кибершпионажа на протяжении около 10 лет, но новые кампании гораздо шире по масштабу и изощреннее. По её словам, количество вредоносного ПО возросло, а также его стало труднее обнаружить.

Поскольку Google Play заблокирован для пользователей Android в Китае, многие загружают приложения из " неофициальных магазинов" или по ссылкам на других платформах, которые заражают устройство. По данным Lookout, скомпрометированными оказались устройства даже тех уйгуров, которые живут за пределами Китая и удалили китайские приложения.

Эксперты приписали атаки Китаю, так как некоторые элементы инфраструктуры пересекаются с прошлыми кампаниями Китая по слежке за уйгурами. Кроме того, на одном из серверов, использовавшихся в атаках, обнаружен язык мандарин.

Многие из заражённых приложений содержали востребованные сервисы – словари на уйгурском языке и перевод клавиатуры. Также вредоносные приложения включали утилиты для аккумуляторов, радио, видеоплееры, GPS и другие программы. По словам Балаам, ссылки на данный софт распространяли в Telegram и других мессенджерах.

Специалисты Lookout выделили новое вредоносное ПО BadBazaar, которое было обнаружено в конце 2021 года, а также вредоносное ПО Moonshine, раскрытое в 2019 году лабораторией Citizen Lab Университета Торонто.

Отслеживая 3 различных сервера управления и контроля (C&C), связанных с Moonshine, исследователи подтвердили, что как минимум на 637 устройствах были установлены зараженные приложения. Аналогичные данные по BadBazaar отсутствуют, поскольку специалисты не смогли получить доступ к связанной с ним инфраструктуре.

Исследователи поделились своими результатами с Google, Apple Inc. и другими компаниями до их публикации, а также отправили запросы на удаление серверов, на которых размещена вредоносная инфраструктура. По словам Балаам, удаление зараженных приложений приведет к удалению вредоносного ПО.

Представители компании Apple не отреагировали на запрос о комментарии. В свою очередь, в Google заявили, что обнаруженные вредоносные приложения никогда не публиковались и были отклонены в процессе проверки.