Publié le 2 juillet 2020, modifié le 8 septembre 2022.
Par La Rédaction

Campagnes de surveillance sur mobile qui ciblent la minorité Ouïghour en Chine

Publié le 2 juillet 2020, modifié le 8 septembre 2022.
Par La Rédaction
Creation : servicesmobiles©

Creation : servicesmobiles©

Les applications mobiles de surveillance de cette campagne ont été probablement diffusées via des attaques de phishing ciblées et de fausses boutiques d’applications tierces. Elles ne sont pas présentes sur Google Play.

Lookout a découvert quatre malwares de surveillance sur mobile Android, baptisés SilkBean, DoubleAgent, CarbonSteal et GoldenEagle. Ces quatre outils interconnectés sont des éléments d’une campagne mAPT (menace persistante avancée sur mobile) beaucoup plus large menée à partir de la Chine, et ciblant principalement la minorité ethnique Ouïgoure. Les premières observations de l’activité de ces campagnes de surveillance sur smartphone datent de 2013.

La chronologie suggère que la campagne de piratage a été l’une des premières pierres angulaires des efforts de surveillance des Ouïghours en Chine qui s’étendront plus tard à la collecte d’échantillons de sang, d’empreintes vocales, d’analyses faciales et d’autres données personnelles pour transformer le Xinjiang en un État policier virtuel. Il montre également à quel point les gardiens de la Chine étaient déterminés à suivre les Ouïghours lorsqu’ils ont fui la Chine dans pas moins de 15 autres pays. Partout où les Ouïghours de Chine se sont déplacés, quelle que soit leur distance, que ce soit la Turquie, l’Indonésie ou la Syrie, les logiciels malveillants les ont suivis là-bas.

Le principal objectif de ces applications mobiles malveillantes est de collecter et exfiltrer les données personnelles des utilisateurs vers des serveurs de commande et de contrôle opérés par les attaquants. Chaque malware a ses propres priorités et techniques de collecte de données, comme détaillé dans le rapport complet. De nombreux échantillons de ces malwares ont été intégrés en “cheval de Troie” sur des applications mobiles légitimes, le malware maintenant le fonctionnement normal des applications en question en plus de ses capacités malveillantes cachées.

Malware CarbonSteal

Les caractéristiques de CarbonSteal incluent un lecteur audio avec une variété de codecs et de formats audio, avec la capacité de contrôler un appareil infecté grâce à des messages SMS spécialement conçus. Les attaquants peuvent également effectuer une surveillance audio grâce à la capacité du malware à répondre silencieusement à un appel à partir d’un numéro de téléphone spécifique et autoriser l’attaquant à écouter les sons autour d’un appareil infecté. Sur la base de cette fonctionnalité, CarbonSteal a peut-être été déployé dans des zones où les données mobiles sont insuffisantes ou la couverture inexistante.

Il est à noter que cette famille de malwares utilise divers noms et icônes d’applications sur le thème de Google pour des applications de chat, des applications VPN et des jeux populaires en Chine. Les applications ont aussi usurpé l’identité d’applications Baidu comme iQIYI et Izda, un moteur de recherche et un site de contenu axés sur les Ouïghours.

Minorité ciblée

Lookout a trouvé des preuves que ces malwares ciblaient en priorité la minorité Ouïghoure mais aussi, dans une moindre mesure, la minorité tibétaine. Ces deux groupes sont réputés être la principale cible de l’activité “anti-terroriste” menée par la Chine. La “Campagne Strike Hard contre le terrorisme violent” lancée par le gouvernement chinois à la mi-2014 a conduit à la création des Directives stratégiques sur la Sécurité nationale, de la Loi sur la Sécurité nationale et de la Loi Antiterroriste en 2015. Les chercheurs ont observé une accélération considérable de la diffusion de ces malwares après la mise en vigueur de ces directives et lois.

Lookout a également observé des campagnes menées par ce groupe mAPT ciblant d’autres pays que la Chine, sur la base des langues et des services adressés par certains malwares. Par exemple, des titres tels que « Turkey Navigation », « A2Z Kuwait FM Radio », « Syrian News » semblent suggérer des cibles respectivement en Turquie, au Koweit et en Syrie. L’enquête a découvert qu’au moins 15 pays différents ont pu être affectés par ces campagnes. 12 d’entre eux font partie de la liste officielle des « 26 pays sensibles » du gouvernement chinois, qui selon des rapports publics sont utilisés par les autorités chinoises comme un critère de ciblage.

Lire aussi