Lookout découvre des campagnes de surveillance sur mobile qui ciblent la minorité Ouïgoure en Chine depuis plusieurs années

Lookout découvre des campagnes de surveillance sur mobile qui ciblent la minorité Ouïgoure en Chine depuis plusieurs années

Release Date: 01 July 2020

L’équipe Threat Intelligence de Lookout a découvert quatre malwares de surveillance sur mobile Android, baptisés SilkBean, DoubleAgent, CarbonSteal et GoldenEagle. Ces quatre outils interconnectés sont des éléments d’une campagne mAPT (menace persistante avancée sur mobile) beaucoup plus large menée à partir de la Chine, et ciblant principalement la minorité ethnique Ouïgoure. Les premières observations de l’activité de ces campagnes de surveillance datent de 2013.

Le principal objectif de ces applications mobiles malveillantes est de collecter et exfiltrer les données personnelles des utilisateurs vers des serveurs de commande et de contrôle opérés par les attaquants. Chaque malware a ses propres priorités et techniques de collecte de données, comme détaillé dans le rapport complet. De nombreux échantillons de ces malwares ont été intégrés en ‘cheval de Troie’ sur des applications mobiles légitimes, le malware maintenant le fonctionnement normal des applications en question en plus de ses capacités malveillantes cachées.

Lookout a trouvé des preuves que ces malwares ciblaient en priorité la minorité Ouïgoure mais aussi, dans une moindre mesure, la minorité tibétaine. Ces deux groupes sont réputés être la principale cible de l’activité « anti-terroriste » menée par la Chine. Les titres et les fonctionnalités internes des applications malveillantes, tels que « Sarkuy » (service musical Ouïgour), « TIBBIY JAWHAR » (app pharmaceutique ouïgoure) et « Tawarim » (site e-commerce ouïgour) montrent que la majorité de l’activité malveillante s’est concentrée sur la minorité ouïgoure.

La ‘Campagne Strike Hard contre le Terrorisme Violent’ lancée par le gouvernement chinois à la mi-2014, a conduit à la création des Directives Stratégiques sur la Sécurité Nationale, de la Loi sur la Sécurité Nationale, et de la Loi Antiterroriste en 2015. Lookout a observé une accélération considérable de la diffusion de ces malwares après la mise en vigueur de ces directives et lois.

Comme décrit dans le rapport complet, l’activité passée de cette campagne mAPT est connectée avec une activité APT sur ordinateur précédemment signalée en Chine, qui est liée à GREF, un acteur de menaces basé en Chine également connu sous les noms d’APT15, Ke3chang, Mirage, Vixen Panda et Playful Dragon.

Lookout a également observé des campagnes menées par ce groupe mAPT ciblant d’autres pays que la Chine, sur ma base des langues et des services adressés par certains malwares. Par exemple, des titres tels que « Turkey Navigation », « A2Z Kuwait FM Radio », « Syrian News » semblent suggérer des cibles respectivement en Turquie, au Koweit et en Syrie. L’enquête Lookout a découvert qu’au moins 15 pays différents ont pu être affectés par ces campagnes. 12 d’entre eux font partie de la liste officielle des « 26 pays sensibles » du gouvernement chinois, qui selon des rapports publics sont utilisés par les autorités chinoises comme un critère de ciblage.

L’arsenal de surveillance mobile de cet acteur mAPT comprend au moins quatre autres outils Android. Ils sont connus publiquement sous le nom de HenBox, PluginPhantom, Spywaller et DarthPusher, et ont été précédemment observés ciblant des individus parlant chinois et appartenant à la minorité ethnique ouïgoure.

Les applications mobiles de surveillance de cette campagne ont été probablement diffusées via des attaques de phishing ciblées et de fausses boutiques d’applications tierces. Elles ne sont pas disponibles sur Google Play. Les utilisateurs des produits de sécurité mobile Lookout sont protégés contre ces menaces.

adding all to cart
File added to media cart.