Un nuevo software de vigilancia de Android posiblemente utilizado por el gobierno iraní se ha utilizado para espiar a más de 300 personas pertenecientes a grupos minoritarios.
El malware, denominado BouldEspíaha sido atribuido con confianza moderada al Comando de Aplicación de la Ley de la República Islámica de Irán (FARAJA). Las víctimas objetivo incluyen kurdos iraníes, baluchis, azeríes y grupos cristianos armenios.
“El software espía también puede haber sido utilizado en los esfuerzos para contrarrestar y monitorear la actividad de tráfico ilegal relacionada con armas, drogas y alcohol”, dijo Lookout. dichobasado en datos exfiltrados que contenían fotos de drogas, armas de fuego y documentos oficiales emitidos por FARAJA.
BouldSpy, al igual que otras familias de malware de Android, abusa de su acceso a los servicios de accesibilidad de Android y otros permisos intrusivos para recopilar datos confidenciales, como el historial del navegador web, fotos, listas de contactos, registros de SMS, pulsaciones de teclas, capturas de pantalla, contenido del portapapeles, audio del micrófono y videollamadas. grabaciones
Vale la pena señalar que BouldSpy se refiere al mismo malware de Android que Cyble denominó DAAM en su propio análisis el mes pasado.
La evidencia recopilada hasta ahora apunta a que BouldSpy se instaló en los dispositivos de los objetivos a través del acceso físico, potencialmente confiscados después de la detención. Esta teoría se ve reforzada por el hecho de que las primeras ubicaciones recopiladas de los dispositivos de las víctimas se concentran principalmente alrededor de los establecimientos policiales iraníes y los puestos de control fronterizo.
El malware viene junto con un panel de comando y control (C2) para administrar los dispositivos de las víctimas, sin mencionar la creación de nuevas aplicaciones maliciosas que se hacen pasar por aplicaciones aparentemente inocuas, como herramientas de evaluación comparativa, convertidores de moneda, calculadoras de intereses y la utilidad de elusión de censura Psiphon.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Otras características dignas de mención incluyen su capacidad para ejecutar código adicional enviado desde el servidor C2, recibir comandos a través de mensajes SMS e incluso deshabilitar las funciones de administración de la batería para evitar que el dispositivo elimine el spyware.
Además, incorpora un componente de ransomware “no utilizado y no funcional” que toma prestada su implementación de un proyecto de código abierto llamado CryDroidlo que plantea la posibilidad de que se esté desarrollando activamente o sea una bandera falsa plantada por el actor de la amenaza.
“Una vez instalado, el software espía buscará establecer una conexión de red con su servidor C2 y filtrar los datos almacenados en caché del dispositivo de la víctima al servidor”, dijeron los investigadores de Lookout. “BouldSpy representa otra herramienta de vigilancia que aprovecha la naturaleza personal de los dispositivos móviles”.
About the Author
