De Watering Hole a Spyware: EvilBamboo Mira Tibetanos, Uigures e Taiwaneses
25 de Setembro de 2023

Indivíduos e organizações tibetanas, uigures e taiwanesas são alvo de uma campanha persistente orquestrada por um ator de ameaça apelidado de EvilBamboo para coletar informações sensíveis.

"O invasor criou sites tibetanos falsos, juntamente com perfis nas redes sociais, provavelmente usados para implantar exploits baseados em navegadores contra usuários alvo", disseram os pesquisadores de segurança da Volexity Callum Roxan, Paul Rascagneres e Thomas Lancaster em um relatório publicado na semana passada.

"Em parte através da imitação de comunidades populares existentes, o atacante construiu comunidades em plataformas online, como Telegram, para ajudar na distribuição de seu malware."
EvilBamboo, anteriormente rastreado pela empresa de cibersegurança com o nome Evil Eye, está ligado a diversas ondas de ataques desde pelo menos 2019, com o ator de ameaça utilizando ataques de watering hole para entregar spyware direcionado a dispositivos Android e iOS.

Também é conhecido como Earth Empusa e POISON CARP.

As intrusões direcionadas ao sistema operacional móvel da Apple aproveitaram uma vulnerabilidade então zero-day no mecanismo de navegador WebKit que foi corrigida pela Apple no início de 2019 para entregar uma cepa de spyware chamada Insomnia.

A Meta, em março de 2021, disse que detectou o abuso do ator de ameaça em suas plataformas para distribuir sites maliciosos hospedando o malware.

O grupo também é conhecido por usar malwares Android como ActionSpy e PluginPhantom para coletar dados valiosos de dispositivos comprometidos sob o disfarce de aplicativos de dicionário, teclado e oração disponíveis em lojas de aplicativos de terceiros.

Os últimos resultados da Volexity atribuem ao EvilBamboo três novas ferramentas de espionagem Android, chamadas BADBAZAAR, BADSIGNAL e BADSOLAR, a primeira das quais foi documentada pela Lookout em novembro de 2022.

Um relatório subsequente da ESET no mês passado detalhou dois aplicativos trojanizados se passando por Signal e Telegram na Google Play Store para atrair usuários a instalar o BADSIGNAL. Embora a empresa eslovaca de cibersegurança tenha atribuído o falso à família BADBAZAAR, citando similaridades de código, a Volexity disse: "eles também parecem ser divergentes em seu desenvolvimento e funcionalidade."

As cadeias de ataque utilizadas para distribuir as famílias de malware envolvem o uso de fóruns de compartilhamento de APK, sites falsos anunciando Signal, Telegram e WhatsApp, canais de Telegram dedicados a compartilhar aplicativos Android e um conjunto de perfis falsos no Facebook, Instagram, Reddit, X (anteriormente Twitter) e YouTube.

"As variantes do Telegram implementam os mesmos pontos de extremidade de API que as variantes do Signal para coletar informações do dispositivo e implementam um proxy", disseram os pesquisadores, acrescentando que identificaram pontos de extremidade que indicam a existência de uma versão iOS do BADSIGNAL.

Diz-se também que um dos canais do Telegram continha um link para um aplicativo iOS chamado TibetOne que não está mais disponível na Apple App Store.

As mensagens compartilhadas pelos grupos do Telegram também foram usadas para distribuir aplicativos com backdoor do malware BADSOLAR, bem como links armadilhados que, quando visitados, executam JavaScript malicioso para perfilar e identificar o sistema.

Enquanto BADBAZAAR é usado principalmente para o público Uigures e outras pessoas de fé muçulmana, BADSOLAR parece ser usado principalmente com aplicativos de temática tibetana.

No entanto, ambas as linhagens incorporam suas capacidades maliciosas na forma de uma segunda etapa que é buscada em um servidor remoto.

O malware de segunda etapa do BADSOLAR também é um fork de um trojan de acesso remoto Android de código aberto chamado AndroRAT.

BADSIGNAL, ao contrário, reúne todas as suas funções de coleta de informações no próprio pacote principal.

"Essas campanhas dependem em grande parte da instalação de aplicativos com backdoor pelos usuários, o que destaca tanto a importância de instalar apenas aplicativos de autores confiáveis quanto a falta de mecanismos eficazes de segurança para impedir que aplicativos com backdoor cheguem às lojas oficiais de aplicativos", disseram os pesquisadores.

"A criação de sites falsos e personas adaptadas aos grupos específicos que eles têm como alvo pelo EvilBamboo tem sido um aspecto fundamental de suas operações, permitindo-lhes construir comunidades confiáveis que fornecem novas oportunidades para alvejar indivíduos com seu spyware ou para outras explorações."

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...