Muhtemelen İran hükümeti tarafından kullanılan yeni bir Android gözetleme yazılımı, azınlık gruplarına mensup 300’den fazla kişiyi gözetlemek için kullanıldı.
adlı kötü amaçlı yazılım BouldCasusorta derecede bir güvenle İran İslam Cumhuriyeti Kolluk Kuvvetleri Komutanlığına atfedilmiştir (FARAJA). Hedeflenen kurbanlar arasında İranlı Kürtler, Beluciler, Azeriler ve Ermeni Hıristiyan grupları yer alıyor.
Lookout, “Casus yazılım, silah, uyuşturucu ve alkolle ilgili yasa dışı kaçakçılık faaliyetlerine karşı koyma ve bunları izleme çabalarında da kullanılmış olabilir” dedi. söz konusuuyuşturucu, ateşli silah fotoğrafları ve FARAJA tarafından yayınlanan resmi belgeleri içeren sızdırılmış verilere dayanmaktadır.
BouldSpy, diğer Android kötü amaçlı yazılım aileleri gibi, Android’in erişilebilirlik hizmetlerine erişimini ve web tarayıcısı geçmişi, fotoğraflar, kişi listeleri, SMS günlükleri, tuş vuruşları, ekran görüntüleri, pano içeriği, mikrofon sesi ve görüntülü arama gibi hassas verileri toplamak için diğer müdahaleci izinleri kötüye kullanır. kayıtlar.
BouldSpy’ın geçen ay kendi analizinde Cyble’ın DAAM kod adını verdiği aynı Android kötü amaçlı yazılımından bahsettiğini belirtmekte fayda var.
Şimdiye kadar toplanan kanıtlar, BouldSpy’ın fiziksel erişim yoluyla hedeflerin cihazlarına yüklendiğini ve potansiyel olarak gözaltına alındıktan sonra el konulduğunu gösteriyor. Bu teori, kurban cihazlarından toplanan ilk konumların çoğunlukla İran kolluk kuvvetleri ve sınır kontrol karakolları çevresinde yoğunlaştığı gerçeğiyle destekleniyor.
Kötü amaçlı yazılım, kurban cihazları yönetmek için bir komut ve kontrol (C2) paneliyle birlikte gelir; kıyaslama araçları, para birimi dönüştürücüler, faiz hesaplayıcıları ve Psiphon sansür atlatma yardımcı programı gibi görünüşte zararsız görünen uygulamalar gibi görünen yeni kötü amaçlı uygulamalar oluşturmaktan bahsetmiyorum bile.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Diğer dikkate değer özellikler, C2 sunucusundan gönderilen ek kodu çalıştırma, SMS mesajları yoluyla komut alma ve hatta cihazın casus yazılımı sonlandırmasını önlemek için pil yönetimi özelliklerini devre dışı bırakma becerisini içerir.
Ayrıca, uygulamasını açık kaynaklı bir projeden ödünç alan “kullanılmayan ve işlevsiz” bir fidye yazılımı bileşeni içerir. CryDroidaktif olarak geliştirilme veya tehdit aktörü tarafından dikilmiş bir yanlış bayrak olma olasılığını artırıyor.
Lookout araştırmacıları, “Yüklendikten sonra, casus yazılım C2 sunucusuyla bir ağ bağlantısı kurmaya çalışacak ve önbelleğe alınmış verileri kurbanın cihazından sunucuya sızdıracak” dedi. “BouldSpy, mobil cihazların kişisel doğasından yararlanan başka bir gözetleme aracını temsil ediyor.”
