Motherboard

A China obriga turistas nas fronteiras da região de Xinjiang a instalarem um malware que rouba mensagens e espia os telemóveis

A aplicação faz o download das mensagens de texto, calendário e registo de chamadas dos telefones, para além de procurar por mais de 70 mil tipos de arquivos nos aparelhos.

Por Joseph Cox; Traduzido por Madalena Maltez
08 Julho 2019, 12:04pm

Imagem: Nico Teitel.

Este artigo foi originalmente publicado na Motherboard - Tech by VICE.

Os estrangeiros que cruzam determinadas fronteiras da China na região de Xinjiang, onde as autoridades estão a conduzir uma enorme campanha de vigilância e opressão contra a população muçulmana local, estão a ser obrigados a instalar um malware nos seus telemóveis que entrega todas as mensagens de texto, além de outros dados, às autoridades, segundo descobriu um trabalho de investigação de colaboração entre a Motherboard/VICE, Süddeutsche Zeitung, The Guardian, New York Times e a emissora pública alemã NDR.

O malware para Android - que é instalado por um guarda na fronteira quando os agentes apreendem fisicamente os telemóveis - também faz um scan ao aparelho em busca de um conjunto específico de arquivos, segundo várias análises de especialistas de software. Os arquivos que as autoridades estão à procura incluem conteúdo extremista islâmico, mas também material islâmico inócuo, livros académicos sobre o Islão e até músicas de uma banda japonesa de metal.

Claro que o download de mensagens e outros dados dos turistas não se compara ao tratamento aplicado à população Uighur em Xinjiang, que vive sob vigilância constante por sistemas de reconhecimento facial, câmaras e revistas frequentes. No final de Junho, a VICE News publicou um documentário que detalhava alguns dos abusos de direitos humanos e vigilância contra a população Uighur. Mas, as revelações relativas ao malware mostram que o estilo agressivo de policiamento e vigilância do governo chinês na região agora também se estende aos estrangeiros.


Vê: "'Eles vêm buscar-nos à noite': a guerra secreta da China aos muçulmanos Uighur"


“[Esta aplicação] é mais uma prova da dimensão da vigilância em massa em Xinjiang. Já sabemos que os habitantes locais – particularmente muçulmanos Turkic – estão sujeitos a vigilância multidimensional, 24 horas por dia, na região”, explica Maya Wang, investigadora sénior da Human Rights Watch para a China. E acrescenta: “O que vocês descobriram vai mais além: sugere que, mesmo os estrangeiros, estão sujeitos a vigilância em massa e ilegal”.

Um turista que cruzou a fronteira e teve o malware instalado no seu aparelho forneceu uma cópia ao Süddeutsche Zeitung e à Motherboard. Um membro de uma equipa de reportagem do Süddeutsche Zeitung também cruzou a fronteira e teve o mesmo malware instalado no seu telemóvel. A Motherboard partilhou uma cópia da aplicação para Android na conta do GitHub. Podes descarregar o arquivo aqui.

Na fronteira entre o Quirguistão e a China, cercada por montanhas desoladas, as autoridades de fronteira recolhem os telemóveis dos viajantes para serem revistados e instalam o malware, chamado BXAQ ou Fengcai. Quem chega à fronteira é levado para um ambiente limpo e estéril para ser revistado, um processo de várias etapas que demora metade de um dia, segundo um viajante. Em conjunto com o Guardian e o New York Times, a equipa de reportagem levou a aplicação para ser analisada por vários técnicos. A empresa de testes de penetração Cure53 para o Open Technology Fund, investigadores do Citizen Lab da Universidade de Toronto e investigadores da Ruhr-Universität Bochum, além do próprio Guardian, forneceram informações sobre o BXAQ. O código da aplicação também inclui nomes como “CellHunter” e “MobileHunter”.

Depois de instalado num telemóvel Android por “sideloading” e exigindo certas permissões em vez do download pelo Google Play Store, o BXAQ recolhe todo o calendário, contactos, registo de chamadas e mensagens de texto do telemóvel e envia-os para um servidor, segundo a análise dos especialistas. O malware também faz um scan ao telemóvel para ver que aplicações estão instalados e extrai os nomes de utilizador que o dono usa em algumas das aplicações instaladas. (Atualização: depois da publicação deste artigo, várias empresas de anti-vírus actualizaram os seus produtos para sinalizar a aplicação como malware).

Conheces outros casos de malware instalados por governos? Fala connosco através de um telemóvel ou computador que não seja do trabalho e entra em contacto com Joseph Cox de maneira segura no Signal em +44 20 8133 5190, no Wickr em josephcox, no chat OTR em jfcox@jabber.ccc.de, ou por e-mail, joseph.cox@vice.com.

A aplicação não se tenta esconder. Em vez disso, mostra um ícone no ecrã de seleção de aplicações do aparelho, o que sugere ter sido pensada para ser removida do telemóvel uma vez que tenha sido usada pelas autoridades. “Este é outro exemplo de como o regime de vigilância em Xinjiang é um dos mais ilegais, invasivos e draconianos do Mundo”, salienta Edin Omanovic, especialista em programas de vigilância governamental da Privacy International.

E acrescenta: “Sistemas modernos de extracção tiram vantagem disso para construir uma imagem detalhada, mas ainda assim com falhas, da vida das pessoas. Aplicações, plataformas e aparelhos modernos geram uma grande quantidade de dados de que as pessoas às vezes nem estão conscientes ou acreditam que foram apagados, mas que ainda podem ser encontrados no aparelho. Isso é altamente alarmante num país onde descarregar a aplicação ou a notícia errada te pode mandar para um campo de detenção”.

bxaq_app_menu
Screenshot da aplicação na página inicial do Android.

O repórter do Süddeutsche Zeitung diz também ter visto máquinas que pareciam ser para revistar iPhones na fronteira. Patrick Poon, investigador da Amnistia Internacional para a China, afirma: “É muito alarmante ver que até estrangeiros e turistas estão a ser sujeitos a este tipo de vigilância”.

No código da aplicação há hashes para mais de 73 mil arquivos pelos quais o malware procura. Normalmente, é difícil determinar que arquivos específicos esses hashtags significam, mas a equipa de reportagem e investigação conseguiu descobrir os inputs para cerca de 1.300 deles. Isto foi feito ao conectar arquivos na ferramenta de busca de arquivos VirusTotal. O Citizen Lab identificou os hashtags na base de dados do VirusTotal e investigadores da equipa da Bochum, mais tarde, descarregaram alguns desses arquivos do VirusTotal. A equipa de reportagem também encontrou outras cópias na Internet e verificou que tipo de material a aplicação procura.

Muitos dos arquivos são scaneados em busca de conteúdo claramente extremista, como o da publicação Romiyah do auto-proclamado Estado Islâmico. Mas, a aplicação também procura partes do Corão, PDFs relacionados com o Dalai Lama e arquivos de música da banda de metal japonesa Unholy Grave (a banda tem uma música chamada “Taiwan: Another China”).

bxaq_scan
Screenshot da app a procurar arquivos.

“O governo chinês, tanto na lei como na prática, geralmente associa actividades religiosas pacíficas com terrorismo. A lei chinesa define terrorismo e extremismo de maneira muito ampla e vaga. Por exemplo, acusações de terrorismo podem vir da mera posse de 'itens que defendem terrorismo', mesmo não havendo uma definição clara do que esses materiais podem ser”, salienta Wang, da Human Rights Watch.

Um dos arquivos procurados é The Syrian Jihad, um livro escrito por Charles Lister, um importante estudioso de terrorismo e director do programa de Contra-terrorismo e Extremismo do Middle East Institute. “Isso é uma novidade para mim!”, diz Lister por e-mail. E sublinha: “Nunca recebi nenhuma crítica ao livro – na verdade, acontece o contrário. Acredito que as autoridades chinesas entendem qualquer coisa com a palavra 'jihad' no título como suspeita. O livro cobre, mesmo que de maneira mínima, o papel do Partido Islâmico do Turquestão na Síria, o que também pode ser considerado sensível para Pequim. Encontrei-me e conversei com oficiais chineses sobre essas questões, por isso não sei de nenhum problema que Pequim possa ter comigo”.


Vê o primeiro episódio de "Terror"


A Motherboard já tinha anteriormente abordado o JingWang, um malware instalado em aparelhos da região de Xinjiang na China. As autoridades geralmente instalam o JingWang nos telemóveis da população muçulmana Uighur e a aplicação também faz um scan aos aparelhos em busca de um conjunto similar de arquivos. Segundo a análise de especialistas, a lista de arquivos caçados no BXAQ sobrepõe-se parcialmente aos procurados pelo JingWang, mas o BXAQ vai mais além. As autoridades chinesas não responderam aos nossos pedidos de comentários. Nem a Ninjing FiberHome StarrySky Communication Development Company Ltd, a empresa parcialmente estatal que desenvolveu a aplicação.

“Há uma tendência crescente no Mundo para tratar fronteiras como zonas sem lei, onde as autoridades podem realizar qualquer forma ultrajante de vigilância que quiserem”, realça Omanovic. E conclui: “Mas, não são: o ponto central dos direitos básicos é que os tens onde quer que vás. Democracias liberais ocidentais que querem implementar regimes de vigilância semelhantes, deviam olhar para o que a China está a fazer aqui e reconsiderar se esse é mesmo o modelo de segurança que querem seguir”.


Segue a VICE Portugal no Facebook, no Twitter e no Instagram.

Vê mais vídeos, documentários e reportagens em VICE VÍDEO.