Die Sicherheitsforscher von Check Point sind einer laufenden Phishing-Kampagne gegen die muslimische Minderheit im chinesischen Westen auf die Schliche gekommen.
Check Point Research, die Forschungsabteilung von Check Point Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cyber-Sicherheitslösungen, betont, dass es keinen Hinweis darauf gebe, ob irgendein Land hinter der Spionage steckt. Jedoch behaupten manche andere Sicherheitsforscher, China stecke erneut hinter der Tat gegen die Uiguren, da die chinesische Führung in der Vergangenheit mehrfach beschuldigt wurde, physische und virtuelle Attacken gegen die religiöse Minderheit auszuführen.
Diesesmal handelt es sich um eine Spear-Phishing-Kampagne, ausgeführt über Handy- und Smartphone-Malware, die derzeit aktiv ist. Der Akteur dahinter soll die Hacker-Gruppierung Scarlet Mimic sein. Als Lockmittel dienen verseuchte Dateien von islamischen Büchern, Bilder und eine Hörbuch-Fassung des Koran. Die Malware ist in der Lage, Daten des infizierten Geräts zu stehlen – darunter Browser-Chronik und Geräte-Informationen – den Standort in Echtzeit zu ermitteln, Anrufe sowie Geräusche der Umgebung aufzunehmen, Anrufe zu tätigen und SMS zu versenden im Namen des Besitzers des Mobiltelefons. Zur eigenen Tarnung löscht die Malware nach letzteren beiden Aktionen die Anruf- und Nachrichtenliste. Außerdem öffnet sie ein gefälschtes Dokument zur Ablenkung des Nutzers.
Die Sicherheitsforscher von Check Point konnten außerdem erkennen, dass die Malware über die letzten Jahre verbessert wurde. Einige Änderungen dienten der besseren Tarnung gegen Sicherheitslösungen, da die Entwickler wohl experimentierten, die bösartigen Befehlszeilen besser zu verbergen. Daneben befassten sich einige Verbesserungen damit, die Malware zum besseren Dieb auszubilden, sodass sie mehr Daten stehlen kann.
Check Point Research ist überzeugt, dass die Malware durch eine Spear-Phishing-Kampagne verbreitet wird und über Dateien auf die Geräte gelangt, die mit Trojanern verseucht sind. Bei Öffnung der Datei, startet sofort die Anwendung der Malware und öffnet das besagt Dokument zur Ablenkung des Nutzers.
Sergey Shykevich, Threat Intelligence Group Manager bei Check Point, erklärt: „Wir haben eine Mobile-Malware-Kampagne entdeckt, die seit mindestens 7 Jahren konsequent gegen Uiguren gerichtet ist. Die Kampagne war über die Jahre hinweg sehr beständig, wobei das letzte Beispiel auf Mitte August 2022 datiert. Das Ausmaß und die Hartnäckigkeit der Kampagne sind übrigens bemerkenswert. All ihre Funktionen ermöglichen es den Kriminellen hinter der Kampagne, ein umfassendes Bild der Ziele zu erstellen. Wir vermuten, dass die Gruppierung Scarlet Mimichinter dieser Spionage steht, wissen aber nicht viel darüber, wer dagegen sich hinter dieser Gruppe verbirgt. Wir werden jedoch die Situation beobachten.“
