I dati sono sempre stati a rischio, oggi più che mai. Anche grazie al Coronavirus, allo smartworking forzato e improvvisato, all’uso di dispositivi vulnerabili, senza sistemi di sicurezza adeguati e poco protetti, alle numerose paranoie che ha generato e ai comportamenti che ne sono derivati. Sono a rischio anche i dati che passano attraverso il cloud, scelto da molte aziende e organizzazioni per la loro trasformazione digitale e diventato un vero e proprio archivio di dati, sensibili e da mettere in sicurezza. Di dati sono affamati cybercriminali e non solo!  In Cina lo sono governanti e istituzioni, anche per tenere sotto controllo le minoranze religiose e avversari politici.

Numerosi malware, in distribuzione all’insaputa dell’utente attraverso App e siti Web, hanno il semplice obiettivo di raccogliere e rubare dati. Questi dati possono servire a cybercriminali così come a governi e istituzioni per il controllo e la sorveglianza dei loro cittadini, come è il caso della Cina e non solo.

Il caso della Cina è il più interessante, in particolare per l’applicazione di una sorveglianza pervasiva. Sperimentata e applicata dal regime cinese anche per controllare la minoranza mussulmana degli Uiguri, attraverso il prelievo invisibile di dati dai dispositivi usati dagli utenti. I dati interessati sono stati prelevati attivando da remoto, all’insaputa dell’utente, il microfono del dispositivo, esportando foto e conversazioni, registrando gli spostamenti.

L’invisibilità di questi prelievi è ciò che rende pericoloso il malware che li pratica. Pericoloso per il singolo utente, anche nel suo ruolo di cittadino, per le aziende e i loro dipendenti. Fortunatamente sul mercato esistono soluzioni, come Lookout, che permettono di identificare la presenza di questo tipo di malware, in modo da facilitare azioni di difesa e/o prevenzione.

Grazie a Lookout si è potuto scoprire in che modo il governo cinese, attraverso l’uso di quattro malware di sorveglianza (SilkBean, DoubleAgent, CarbonSteal, GoldenEagle) per piattaforme Android e all’interno di una più vasta azione di controllo mAPT, avesse messo sotto sorveglianza la minoranza degli Uiguri. L’analisi condotta da Lookout ha anche permesso di evidenziare aggressività, dimensione ed estensione della campagna di hacking condotta dalla Cina, in aperta violazione dei diritti umani degli attivisti e utenti spiati.

Grazie a Lookout si è potuto retrodatare questo tipo di malware al 2013 (attività in crescita per tutto il 2014 e 2015), si sono potuti identificare i suoi modus operandi, tecniche, priorità (tipo di dati da raccogliere) e finalità, mirate a impossessarsi di dati personali attraverso comandi diretti eseguiti da server.

I malware identificati agivano dall’interno di normali APP permettendone per intero le loro funzionalità. Grazie a Lookout si è potuto evidenziare che il target prioritario fossero gli Uiguri ma anche i tibetani, due popoli che nella narrazione politica cinese sono fonte e portatori di potenziali rischi terroristici e per questo motivo sono oggetto di attività di contro-terrorismo da parte dello stato.

Il target Uiguro è evidenziato dal tipo di APP infettate con il malware: Sarkuy (servizio di musica Uigura in streaming), TIBBIYJAWHAR (un'applicazione farmacutica Uigura), e Tawarim (un sito di e-commerce Uiguro).

Quanto scoperto dal team di specialisti Lookout è che i malware identificati sono collegati a attività desktop simili di mAPT (mobile Advanced Persistent Threat) associabili a GREF (Google Ref), una minaccia di provenienza cinese noto anche come APT15, Ke3chang, Mirage, Vixen Panda e Playful Dragon.

Queste attività sono state rilevate dal team di Lookout anche all’esterno della Cina. Grazie alle lingue utilizzate sono state identificate 14 nazioni come potenziali target del malware.

L’investigazione compiuta attraverso le soluzioni Lookout ha permesso di identificare altri quattro malware (HenBox, PluginPhantom,Spywaller e Darthpusher), sempre distribuiti attraverso APP per dispositivi Android.

La distribuzione è avvenuta principalmente attraverso una combinazione di attacchi phishing o false APP caricate sugli store online di piattaforme diverse da Google Play.

Il lavoro condotto da Lookout sulle APP veicolo dei malware qui riportati ha prodotto un voluminoso REPORT, disponibile per il download e ricco di informazioni dettagliate e tecniche.

Inutile evidenziare che le aziende che fanno uso delle soluzioni di Lookout per la sicurezza mobile dei loro dipendenti sono protetti da questo tipo di malware.