Un nouveau logiciel de surveillance Android éventuellement utilisé par le gouvernement iranien a été utilisé pour espionner plus de 300 personnes appartenant à des groupes minoritaires.
Le malware, surnommé BouldSpya été attribuée avec une confiance modérée au Commandement des forces de l’ordre de la République islamique d’Iran (FARAJA). Les victimes ciblées comprennent les Kurdes iraniens, les Baluchis, les Azéris et les groupes chrétiens arméniens.
« Le logiciel espion peut également avoir été utilisé dans le cadre d’efforts pour contrer et surveiller les activités de trafic illégal liées aux armes, à la drogue et à l’alcool », a déclaré Lookout. a ditsur la base de données exfiltrées contenant des photos de drogues, d’armes à feu et de documents officiels délivrés par le FARAJA.
BouldSpy, comme d’autres familles de logiciels malveillants Android, abuse de son accès aux services d’accessibilité d’Android et à d’autres autorisations intrusives pour récolter des données sensibles telles que l’historique du navigateur Web, les photos, les listes de contacts, les journaux SMS, les frappes au clavier, les captures d’écran, le contenu du presse-papiers, l’audio du microphone et les appels vidéo. enregistrements.
Il convient de souligner que BouldSpy fait référence au même malware Android que Cyble a nommé DAAM dans sa propre analyse le mois dernier.
Les preuves recueillies jusqu’à présent indiquent que BouldSpy est installé sur les appareils des cibles via un accès physique, potentiellement confisqué après la détention. Cette théorie est renforcée par le fait que les premiers emplacements recueillis à partir d’appareils victimes sont principalement concentrés autour des établissements d’application de la loi iraniens et des postes de contrôle frontaliers.
Le logiciel malveillant s’accompagne d’un panneau de commande et de contrôle (C2) pour gérer les appareils victimes, sans parler de la création de nouvelles applications malveillantes qui se font passer pour des applications apparemment anodines telles que des outils d’analyse comparative, des convertisseurs de devises, des calculateurs d’intérêts et l’utilitaire de contournement de la censure Psiphon.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
D’autres caractéristiques remarquables comprennent sa capacité à exécuter du code supplémentaire envoyé par le serveur C2, à recevoir des commandes par SMS et même à désactiver les fonctionnalités de gestion de la batterie pour empêcher l’appareil de mettre fin au logiciel espion.
Il intègre en outre un composant de ransomware « inutilisé et non fonctionnel » qui emprunte son implémentation à un projet open source appelé CryDroïdesoulevant la possibilité qu’il soit activement développé ou qu’il s’agisse d’un faux drapeau planté par l’auteur de la menace.
« Une fois installé, le logiciel espion cherchera à établir une connexion réseau avec son serveur C2 et à exfiltrer toutes les données mises en cache de l’appareil de la victime vers le serveur », ont déclaré les chercheurs de Lookout. « BouldSpy représente un autre outil de surveillance tirant parti de la nature personnelle des appareils mobiles. »
