Sommario
Un nuovo software spia per Android, probabilmente utilizzato dal governo iraniano, è stato impiegato per spiare oltre 300 persone appartenenti a gruppi minoritari.
BouldSpy e il Comando delle Forze dell’Ordine della Repubblica Islamica dell’Iran (FARAJA)
Il malware, denominato BouldSpy, è stato attribuito con moderata fiducia al Comando delle Forze dell’Ordine della Repubblica Islamica dell’Iran (FARAJA). Tra le vittime, figurano curdi, baluchi, azeri e gruppi cristiani armeni iraniani. Secondo Lookout, il software spia potrebbe essere stato utilizzato anche per contrastare e monitorare attività illegali legate al traffico di armi, droga e alcol, sulla base dei dati trafugati che contenevano foto di droghe, armi da fuoco e documenti ufficiali rilasciati da FARAJA.
Funzionalità e modalità di diffusione di BouldSpy
BouldSpy, come altre famiglie di malware per Android, abusa dei servizi di accessibilità di Android e di altre autorizzazioni intrusive per raccogliere dati sensibili come cronologia del browser, foto, liste di contatti, registri degli SMS, battiture, screenshot, contenuti degli appunti, audio del microfono e registrazioni di videochiamate. Le prove raccolte finora indicano che BouldSpy venga installato sui dispositivi delle vittime tramite accesso fisico, probabilmente dopo la confisca durante la detenzione.
Il pannello di controllo e la componente ransomware non funzionale
Il malware è dotato di un pannello di comando e controllo (C2) per gestire i dispositivi delle vittime e creare nuove app malevole che si celano dietro a strumenti apparentemente innocui, come convertitori di valuta, calcolatori di interessi e utility per eludere la censura come Psiphon. BouldSpy integra anche una componente ransomware “inutilizzata e non funzionale” che prende spunto da un progetto open source chiamato CryDroid, suggerendo che potrebbe essere in fase di sviluppo attivo o rappresentare una falsa bandiera piantata dall’attore minaccioso.
