Um novo software de vigilância para Android, possivelmente usado pelo governo iraniano, foi usado para espionar mais de 300 indivíduos pertencentes a grupos minoritários.
O malware, apelidado de BouldSpy, tem sido atribuído com confiança moderada ao Comando de Execução da Lei da República Islâmica do Irã (FARAJA).
As vítimas incluem curdos iranianos, baluchis, azeris e grupos cristãos armênios.
"O spyware também pode ter sido usado em esforços para combater e monitorar atividades ilegais de tráfico relacionadas a armas, drogas e álcool", disse a Lookout, com base em dados exfiltrados que continham fotos de drogas, armas de fogo e documentos oficiais emitidos pela FARAJA.
O BouldSpy, como outras famílias de malware para Android, abusa de seu acesso aos serviços de acessibilidade do Android e outras permissões intrusivas para coletar dados sensíveis, como histórico de navegação na web, fotos, listas de contatos, logs de SMS, teclas digitadas, capturas de tela, conteúdo da área de transferência, áudio do microfone e gravações de chamadas de vídeo.
Vale ressaltar que BouldSpy se refere ao mesmo malware para Android que o Cyble codificou como DAAM em sua própria análise no mês passado.
As evidências reunidas até agora apontam para o BouldSpy sendo instalado nos dispositivos de alvos por meio de acesso físico, potencialmente confiscado após a detenção.
Essa teoria é reforçada pelo fato de que os primeiros locais obtidos dos dispositivos das vítimas estão principalmente concentrados em estabelecimentos de aplicação da lei iranianos e postos de controle de fronteira.
O malware vem junto com um painel de controle de comando e controle (C2) para gerenciar dispositivos de vítimas, além de criar novos aplicativos maliciosos que se disfarçam como ferramentas aparentemente inofensivas como ferramentas de benchmarking, conversores de moeda, calculadoras de juros e a utilidade de circunvenção de censura Psiphon.
Outras características notáveis compõem sua capacidade de executar código adicional enviado pelo servidor C2, receber comandos por meio de mensagens SMS e até mesmo desativar recursos de gerenciamento de bateria para evitar que o dispositivo termine o spyware.
Ele ainda incorpora um componente de ransomware "não utilizado e não funcional" que empresta sua implementação de um projeto de código aberto chamado CryDroid, levantando a possibilidade de que esteja sendo desenvolvido ativamente ou seja uma bandeira falsa plantada pelo ator ameaça.
"Uma vez instalado, o spyware procurará estabelecer uma conexão de rede com seu servidor C2 e exfiltrar quaisquer dados armazenados em cache do dispositivo da vítima para o servidor", disseram os pesquisadores da Lookout.
"O BouldSpy representa mais uma ferramenta de vigilância aproveitando a natureza pessoal dos dispositivos móveis."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...