Ngày 02 tháng 5 năm 2023Ravie LakshmananBảo mật di động / Phần mềm gián điệp
Một phần mềm giám sát Android mới có thể được sử dụng bởi chính phủ Iran đã được sử dụng để theo dõi hơn 300 cá nhân thuộc các nhóm thiểu số.
Phần mềm độc hại, được đặt tên là BouldSpy, đã được cho là có độ tin cậy vừa phải đối với Bộ Tư lệnh Thực thi Pháp luật của Cộng hòa Hồi giáo Iran (FARAJA). Các nạn nhân được nhắm mục tiêu bao gồm người Kurd ở Iran, Baluchis, Azeris và các nhóm Cơ đốc giáo Armenia.
“Phần mềm gián điệp cũng có thể đã được sử dụng trong nỗ lực chống lại và giám sát hoạt động buôn bán bất hợp pháp liên quan đến vũ khí, ma túy và rượu”, Lookout cho biết, dựa trên dữ liệu bị rò rỉ có chứa hình ảnh về ma túy, súng và tài liệu chính thức do FARAJA cung cấp.
BouldSpy, giống như các dòng phần mềm độc hại Android khác, lạm dụng quyền truy cập vào các dịch vụ trợ năng của Android và các quyền xâm nhập khác để thu thập dữ liệu nhạy cảm như lịch sử trình duyệt web, ảnh, danh sách liên hệ, nhật ký SMS, tổ hợp phím, ảnh chụp màn hình, nội dung khay nhớ tạm, âm thanh micrô và cuộc gọi video bản ghi âm.
Cần chỉ ra rằng BouldSpy đề cập đến cùng một phần mềm độc hại Android mà Cyble có tên mã là DAAM trong phân tích của riêng mình vào tháng trước.
Bằng chứng thu thập được cho đến nay chỉ ra BouldSpy được cài đặt trên thiết bị của mục tiêu thông qua truy cập vật lý, có khả năng bị tịch thu sau khi bị giam giữ. Lý thuyết này được củng cố bởi thực tế là các địa điểm đầu tiên được thu thập từ các thiết bị nạn nhân chủ yếu tập trung xung quanh các cơ quan thực thi pháp luật và các chốt kiểm soát biên giới của Iran.
Phần mềm độc hại đi kèm với bảng lệnh và kiểm soát (C2) để quản lý các thiết bị của nạn nhân, chưa kể đến việc tạo các ứng dụng độc hại mới giả dạng các ứng dụng có vẻ vô hại như công cụ đo điểm chuẩn, công cụ chuyển đổi tiền tệ, máy tính lãi suất và tiện ích vượt kiểm duyệt Psiphon.
Các tính năng đáng chú ý khác bao gồm khả năng chạy mã bổ sung được gửi từ máy chủ C2, nhận lệnh qua tin nhắn SMS và thậm chí vô hiệu hóa các tính năng quản lý pin để ngăn thiết bị chấm dứt phần mềm gián điệp.
Nó còn kết hợp thêm một thành phần ransomware “không được sử dụng và không hoạt động”, mượn cách triển khai của nó từ một dự án nguồn mở có tên CryDroid, làm tăng khả năng nó đang được phát triển tích cực hoặc là một lá cờ giả do tác nhân đe dọa cài đặt.
Các nhà nghiên cứu của Lookout cho biết: “Sau khi được cài đặt, phần mềm gián điệp sẽ tìm cách thiết lập kết nối mạng đến máy chủ C2 của nó và trích xuất mọi dữ liệu được lưu trong bộ nhớ cache từ thiết bị của nạn nhân đến máy chủ”. “BouldSpy đại diện cho một công cụ giám sát khác tận dụng tính chất cá nhân của thiết bị di động.”
