Các cá nhân và tổ chức Tây Tạng, Uyghur và Đài Loan là mục tiêu của một chiến dịch dai dẳng do kẻ đe dọa có mật danh EvilBamboo dàn dựng để thu thập thông tin nhạy cảm.
Các nhà nghiên cứu bảo mật của Volexity Callum Roxan, Paul Rascaagneres và Thomas Lancaster cho biết trong một báo cáo được công bố vào tuần trước: “Kẻ tấn công đã tạo ra các trang web Tây Tạng giả mạo, cùng với các hồ sơ truyền thông xã hội, có thể được sử dụng để triển khai các hoạt động khai thác dựa trên trình duyệt chống lại người dùng mục tiêu ” .
“Một phần thông qua việc mạo danh các cộng đồng phổ biến hiện có, kẻ tấn công đã xây dựng cộng đồng trên các nền tảng trực tuyến, chẳng hạn như Telegram, để hỗ trợ việc phân phối phần mềm độc hại của chúng.”
EvilBamboo, trước đây được theo dõi bởi công ty an ninh mạng có tên Evil Eye, đã được liên kết với nhiều làn sóng tấn công ít nhất kể từ năm 2019 , với việc kẻ đe dọa tận dụng các cuộc tấn công Watering Hole để phát tán phần mềm gián điệp nhắm mục tiêu vào các thiết bị Android và iOS. Nó còn được gọi là Earth Empusa và POISON CARP.
Các cuộc xâm nhập nhằm vào hệ điều hành di động Apple đã tận dụng lỗ hổng zero-day trong công cụ trình duyệt WebKit đã được Apple vá vào đầu năm 2019 để phát tán một chủng phần mềm gián điệp có tên Insomnia . Meta, vào tháng 3 năm 2021, cho biết họ đã phát hiện ra kẻ đe dọa lạm dụng nền tảng của mình để phân phối các trang web độc hại lưu trữ phần mềm độc hại.
Nhóm này cũng được biết là sử dụng phần mềm độc hại trên Android như ActionSpy và PluginPhantom để thu thập dữ liệu có giá trị từ các thiết bị bị xâm nhập dưới vỏ bọc các ứng dụng từ điển, bàn phím và cầu nguyện có sẵn trên các cửa hàng ứng dụng của bên thứ ba.
Những phát hiện mới nhất từ Volexity gán cho EvilBamboo ba công cụ gián điệp Android mới, đó là BADBAZAAR, BADSIGNAL và BADSOLAR, công cụ đầu tiên được Lookout ghi lại vào tháng 11 năm 2022.
Một báo cáo tiếp theo từ ESET vào tháng trước đã trình bày chi tiết về hai ứng dụng chứa trojan giả mạo Signal và Telegram trên Cửa hàng Google Play để lôi kéo người dùng cài đặt BADSIGNAL. Trong khi công ty an ninh mạng Slovakia gán loại giả mạo này cho họ BADBAZAAR, trích dẫn những điểm tương đồng về mã, thì Volexity cho biết, "chúng dường như khác nhau về cách phát triển và chức năng."
Các chuỗi tấn công được sử dụng để phân phối các dòng phần mềm độc hại đòi hỏi phải sử dụng các diễn đàn chia sẻ APK, các trang web quảng cáo giả mạo Signal, Telegram và WhatsApp, các kênh Telegram dành để chia sẻ ứng dụng Android và một tập hợp hồ sơ không có thật trên Facebook, Instagram, Reddit, X (trước đây là Twitter) và YouTube.
Các nhà nghiên cứu cho biết: “Các biến thể Telegram triển khai các điểm cuối API giống như các biến thể Signal để thu thập thông tin từ thiết bị và chúng triển khai proxy”, đồng thời cho biết thêm rằng nó đã xác định các điểm cuối cho thấy sự tồn tại của phiên bản BADSIGNAL trên iOS.
Một trong những kênh Telegram cũng được cho là có chứa liên kết đến một ứng dụng iOS có tên là TibetanOne, ứng dụng này không còn có trên Apple App Store.
Các tin nhắn được chia sẻ qua các nhóm Telegram cũng đã được sử dụng để phân phối các ứng dụng có cài backdoor với phần mềm độc hại BADSOLAR cũng như các liên kết bị gài bẫy mà khi truy cập sẽ chạy JavaScript độc hại để lập hồ sơ và lấy dấu vân tay của hệ thống.
Trong khi BADBAZAAR chủ yếu được sử dụng để nhắm mục tiêu vào người Duy Ngô Nhĩ và các cá nhân khác theo tín ngưỡng Hồi giáo, BADSOLAR dường như được sử dụng chủ yếu với các ứng dụng có chủ đề Tây Tạng. Tuy nhiên, cả hai chủng đều kết hợp khả năng độc hại của chúng dưới dạng giai đoạn thứ hai được truy xuất từ máy chủ từ xa.
Phần mềm độc hại giai đoạn hai của BADSOLAR cũng là một nhánh của trojan truy cập từ xa Android nguồn mở có tên AndroRAT . Ngược lại, BADSIGNAL gói tất cả các chức năng thu thập thông tin của nó vào gói chính.
Các nhà nghiên cứu cho biết: “Các chiến dịch này chủ yếu dựa vào việc người dùng cài đặt các ứng dụng cửa hậu, điều này nêu bật cả tầm quan trọng của việc chỉ cài đặt ứng dụng từ các tác giả đáng tin cậy và việc thiếu cơ chế bảo mật hiệu quả để ngăn chặn các ứng dụng cửa sau xâm nhập vào các cửa hàng ứng dụng chính thức”.
“Việc EvilBamboo tạo ra các trang web giả mạo và các cá nhân phù hợp với các nhóm cụ thể mà chúng nhắm mục tiêu là một khía cạnh quan trọng trong hoạt động của chúng, cho phép chúng xây dựng các cộng đồng đáng tin cậy cung cấp thêm các con đường để nhắm mục tiêu vào các cá nhân bằng phần mềm gián điệp của chúng hoặc cho mục đích khai thác khác.”