Le agenzie governative per la cybersicurezza di cinque paesi (Stati Uniti, Regno Unito, Germania, Australia e Nuova Zelanda) hanno pubblicato due documenti che descrivono le funzionalità e i bersagli di BadBazaar e Moonshine. I due spyware sono stati trovati in oltre 100 app Android.

Spyware in app che sembrano legittime

I principali bersagli delle campagne di spionaggio sono individui e gruppi della società civile che seguono diversi argomenti: indipendenza di Taiwan, diritti dei tibetani, minoranza etnica degli uiguri e movimento Falun Gong. È quindi chiaro che i due spyware sono utilizzati da cybercriminali finanziati dal governo cinese.

Le funzionalità di BadBazaar e Moonshine sono state già descritte da varie aziende di sicurezza. Nei documenti sono presenti alcuni dettagli e l’elenco delle app infette. Quasi tutte sono state distribuite tramite file APK, ma alcune erano presenti anche sul Google Play Store. Oltre a quelle per le preghiere buddiste e musulmane ci sono versioni fasulle di app molto popolari, tra cui WhatsApp, Telegram, Signal, Skype e Adobe Acrobat.

I due spyware offrono funzionalità simili. Possono rilevare la posizione geografica in tempo reale, scattare foto, registrare audio, esfiltrare file, raccogliere informazioni sul dispositivo, riprodurre audio, accedere a messaggi e cronologia delle chiamate. BadBazaar era presente anche in un’app per iOS (TibetOne) pubblicata sullo store di Apple.

Le agenzie governative hanno fornito alcuni utili suggerimenti: scaricare le app solo dagli store ufficiali, aggiornare app e sistema operativo, non modificare il dispositivo (root o jailbreak), controllare i permessi delle app e rimuovere quelle inutilizzate.