Хакеры EvilBamboo устроили «кибергеноцид» азиатским пользователям

Тибетцы, уйгуры и тайваньцы стали мишенями продолжительной вредоносной кампании, организованной хакерской группой под кодовым названием EvilBamboo, целью которой является сбор чувствительной информации.

Исследователи безопасности из компании Volexity сообщили , что атакующие создали поддельные тибетские сайты и профили в социальных сетях, вероятно, для использования браузерных угроз против целевых пользователей. Путём частичного подражания существующим популярным сообществам, злоумышленники создали сообщества на популярных платформах, таких как Telegram , чтобы быстрее распространить своё вредоносное ПО.

Ранее известная под именем Evil Eye, группа EvilBamboo связана с несколькими волнами атак с 2019 года. Хакеры часто используют атаки через заражённые сайты для доставки шпионского ПО, нацеленного на устройства Android и iOS .

Атаки, направленные против мобильной операционной системы Apple , использовали для распространения шпионского ПО под названием Insomnia уязвимость нулевого дня в движке WebKit , исправленную Apple в начале 2019 года. В марте 2021 года Meta * заявила, что обнаружила злоумышленника, злоупотребляющего её платформами для распространения вредоносных веб-сайтов, на которых размещено данное вредоносное ПО.

Группа EvilBamboo также известна использованием Android-вредоносов, таких как ActionSpy и PluginPhantom, которые маскируются под словари, клавиатуры и прочие приложения, доступные в сторонних магазинах приложений.

Последние данные от Volexity связывают EvilBamboo с тремя новыми инструментами для шпионажа на Android: BADBAZAAR, BADSIGNAL и BADSOLAR. Первый из них был документирован компанией Lookout в ноябре 2022 года.

В цепочках атак, используемых для распространения вредоносного ПО, применяются форумы для обмена APK -файлами, поддельные сайты, рекламирующие Signal , Telegram и WhatsApp , а также набор фальшивых профилей в социальных сетях.

«Эти кампании в основном зависят от того, чтобы пользователи устанавливали «заражённые» приложения. Данная тактика подчёркивает важность установки приложений только от проверенных авторов», — заявили исследователи.

Основным аспектом действий EvilBamboo является создание поддельных веб-сайтов и персоналий, максимально приближенных конкретным группам целей, что позволяет усыплять бдительность последних и проводить максимально деструктивные атаки.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.