Xakep #305. Многошаговые SQL-инъекции
Журналисты Vice Motherboard, Süddeutsche Zeitung, The Guardian, New York Times и немецкой вещательной компании NDR обнаружили, что при пересечении границы Китая пограничники устанавливают на смартфоны туристов малварь.
Судя по всему, проблема актуальна только для региона Синьцзян, который недавно уже оказывался в центре другого крупного скандала. Напомню, что в прошлом году СМИ стало известно о масштабной кампании, развернутой с целью пристальной слежки за местным мусульманским населением.
Теперь пресса сообщает, что в Синьцзян на мобильные устройства туристов, пересекающих границу, устанавливают шпионское ПО. Так, местные пограничники просят туристов разблокировать мобильные гаджеты, а затем удаляются с ними для проведения проверки. Для пользователей iPhone проверка включает в себя подключение смартфона к компьютеру, с целью изучения содержимого телефона. Судя по всему, во время таких проверок власти ищут файлы, подпадающие под определение исламистского экстремистского контента, а также вполне безобидные материалы, тоже связанные с исламом (включая научные труды ведущих исследователей), и даже музыку японской группы Unholy Grave.
Но для Android все заходит еще дальше, и сотрудники пограничной службы устанавливают на устройства шпионское приложение BXAQ или Fēng cǎi, копии которого удалось получить редакциям Süddeutsche Zeitung и Motherboard. Один из репортеров Süddeutsche Zeitung и вовсе пересек границу и получил ту же самую вредоносную программу на свой телефон. Журналисты уже опубликовали малварь на GitHub.
«[Это приложение] является еще одним доказательством того, что в Синьцзяне осуществляется массовая слежка. Мы уже знали, что жители Синьцзяна, особенно тюрки-мусульмане, подвергаются круглосуточному и масштабному наблюдению в регионе. Но то, что обнаружили вы, выходит за рамки. Это доказывает, что даже иностранцы подвергаются такому же массовому и незаконному надзору», — говорит старший научный сотрудник Human Rights Watch Майя Ван.
По просьбе журналистов, шпионское приложение изучили ИБ-эксперты компании Cure53 (от лица фонда Open Technology Fund), исследователи Citizen Lab из университета Торонто, а также специалисты Рурского университета.
Анализ показал, что после установки на устройство BXAQ собирает все записи из календаря телефона, список контактов, журналы вызовов и текстовые сообщения, а затем загружает их на удаленный сервер. Также малварь сканирует зараженный девайс, изучая, какие приложения на нем установлены, и в некоторых случаях извлекает имена пользователей из установленных приложений.
Интересно, что приложение вовсе не пытается скрыться от пользователя. Вместо этого на экране устройства появляется значок, позволяющий удалить малварь с телефона после ее использования. Очевидно, удалять приложение должны сами пограничники, но они зачастую забывают это сделать.
Также эксперты обнаружили в код приложения хэши более 73 000 различных файлов, которые и сканирует BXAQ. Как правило, сложно сопоставить такие хэши с конкретными файлами, но исследователи смогли идентифицировать около 1300 из них. В основном это было проделано с использованием Virus Total, а также эксперты нашли другие копии этих файлов в интернете.
Выяснилось, что многие из сканируемых файлов действительно содержат явно экстремистский контент, например, публикации журнала Rumiyah, принадлежащего запрещенной в РФ ИГИЛ. Но также приложение ищет выдержки из Корана, PDF-файлы, связанные с Далай-ламой, и музыкальные файлы японской группы Unholy Grave.
Еще одним из файлов из «черного списка» является книга «Сирийский джихад», написанная Чарльзом Листером, ведущим исследователем терроризма, старшим научным сотрудником и главой программы по противодействию терроризму и экстремизму в Институте Ближнего Востока. Листер сообщил журналистам, что впервые слышит о таком, и предположил, что власти Китая считают любую книгу, в чьем названии присутствует слово «джихад», потенциально подозрительной.
Ни официальные представители китайских властей, ни представители компании Ninjing FiberHome StarrySky Communication Development Company Ltd, частично принадлежащей государству и разработавшей то самое приложение, пока не ответили на запросы журналистов и никак не прокомментировали ситуацию.
Фото: Vice Motherboard