Yakın zamanda Lookout Threat Lab tarafından tespit edilen yeni Android casus yazılımı BouldSpy, orta düzeyde kesinlik ile İran’ın İran İslam Cumhuriyeti Kolluk Kuvvetleri Komutanlığı ile bağlantılı.
Adını yapılandırma sınıfı “BoulderApplication”dan alır. BouldSpy, komuta ve kontrol (C2) yetenekleri nedeniyle Mart 2020’den beri onların gözetimi altındadır.
2023’te Twitter’daki ve tehdit istihbaratı topluluğundaki güvenlik araştırmacıları, şu şekilde tanımlanan bu yeni Android kötü amaçlı yazılımına odaklanmaya başladı:-
Lookout’un araştırmacıları, BouldSpy’da bulunan fidye yazılımı kodunun çalışır durumda olmadığını ve etkin olmadığını düşünüyor.
Tehdit aktörü hala aktif olarak üzerinde çalışıyor veya araştırmacıları yanlış yönlendirmeye çalışıyor, bu BouldSpy’da fidye yazılımı kodunun varlığına dayalı bir olasılık.
Lookout’un BouldSpy’ın komuta ve kontrol (C2) sunucularından sızdırılmış verilere ilişkin analizi, casus yazılımın aşağıdakiler gibi gruplar da dahil olmak üzere 300’den fazla kişiyi hedef aldığını ortaya koyuyor:-
- İran Kürtleri
- Beluciler
- Azeriler
- Ermeni Hıristiyan grupları
Serbest bırakıldıktan sonra FARAJA, muhtemelen gözaltı sırasında elde ettikleri fiziksel erişimi kullanarak hedefi daha fazla izlemek için BouldSpy’ı kurar.
Resmi FARAJA belgelerinin yanı sıra uyuşturucu ve ateşli silah görüntüleri, kolluk kuvvetlerinin kötü amaçlı yazılımı kullanmış olabileceğini ima etse de, kurbanların verilerinden elde edilen bilgiler, İran’daki azınlık gruplarının hedefli gözetlenmesi gibi daha kapsamlı kullanıma işaret ediyor.
Bunun dışında, 2022’nin sonlarında Mahsa Amini protestolarının zirve yaptığı sırada, kötü amaçlı yazılımın operasyonlarının önemli bir kısmı gözlemlendi.
Teknik Analiz
Güvenlik araştırmacılarının kullanabileceği sınırlı sayıda örnek ve operasyonel güvenliğine ilişkin olgunluk eksikliği göz önüne alındığında, BouldSpy’ın yeni bir kötü amaçlı yazılım türü olduğu varsayılmaktadır.
Aşağıdaki temel özelliklerin olmaması, yeniliğinin ek kanıtı olarak hizmet eder:-
- Şifrelenmemiş C2 trafiği
- Sabit kodlu düz metin C2 altyapısı ayrıntıları
- Dize gizleme eksikliği
- İzinsiz giriş yapılarını kaldıramama
BouldSpy’ın casusluk faaliyetleri, bunu yapmak için Android erişilebilirlik hizmetlerinden yararlanarak öncelikle arka planda gerçekleşir.
Ayrıca, casus yazılımın işlemlerinin cihaz kapanmadan kesintisiz devam etmesini sağlamak için temel olarak bir CPU uyandırma kilidi oluşturmaya ve pil yönetimi işlevini devre dışı bırakmaya bağlıdır.
Bu da kurbanların, saldırıların bir sonucu olarak cihazlarının pillerinin normalden çok daha hızlı boşalmasına neden oldu.
Şimdi casus yazılım, önbelleğe alınmış verileri C2 sunucusuna çıkarmak için kurbanın cihazından hedef sisteme yüklendikten hemen sonra C2 sunucusuna bir ağ bağlantısı kurar.
BouldSpy, dosyaları hırsızlık için şifreleyebilir, ancak kurban cihazlar ile C2 arasındaki iletişim, şifrelenmemiş web trafiği üzerinden gerçekleşir.
Tehdit aktörünün güvenli olmayan uygulaması, tüm C2 iletişimini açık metin olarak göstererek ağ analizini ve tespitini basitleştirir.
Aşağıdakiler, Lookout’un bulduğu BouldSpy C2 sunucularının IP adresleridir:-
- 192.99.251[.]51
- 192.99.251[.]50
- 192.99.251[.]49
- 192.99.251[.]54
- 84.234.96[.]117
- 149.56.92[.]127
Aşağıda, bu sunucuların analizi sırasında bulunan kurbanın veri türlerinden bahsetmiştik:-
- 66.000 çağrı kaydı
- 15.000 yüklü uygulama
- 100.000 kişi
- 3.700 kullanıcı hesabı
- 3.000 indirilmiş dosya
- 9.000 keylog
- 900 lokasyon
- 400.000 kısa mesaj
- 2.500 fotoğraf
Dağıtım ve yetenekler
FARAJA’nın tehdit aktörünün C2 paneli, kurbanların cihazlarının yönetiminin yanı sıra özel BouldSpy kötü amaçlı yazılım uygulamalarının geliştirilmesine izin veren kullanıcı dostu bir arayüz sağlar.
Kötü amaçlı yazılım operatörü, varsayılan paket adı olan “com” arasında seçim yapma seçeneğine sahiptir. android. telefon aramalarını yöneten bir Android sistem hizmeti olarak görünmek veya “com. android. çağrı hizmeti” paketini birkaç orijinal uygulamaya dönüştürün.
BouldSpy aşağıdaki uygulamaları taklit eder:-
- CPU-Z
- Faiz Hesaplayıcı
- Döviz Çevirici Pro
- Sahte arama
- Arama servisi
- Psifon
Aşağıda tüm gözetim yeteneklerinden bahsetmiştik: –
- Cihazdaki tüm hesapların kullanıcı adlarını ve türlerini alın.
- Yüklü uygulamaların listesi
- Tarayıcı geçmişi ve yer imleri
- Canlı arama kayıtları
- Arama kayıtları
- Cihaz kameralarından fotoğraf çekin
- Kişi listeleri
- IP adresi
- SIM kart bilgisi
- Wi-Fi bilgileri
- android versiyonu
- Cihaz tanımlayıcıları
- Cihazdaki tüm dosyaların listesi
- Cihazdaki tüm klasörlerin listesi
- Pano içeriği
- Keylogger’lar
- GPS, ağ veya hücre sağlayıcısından konum
- SMS mesajları
- Mikrofondan ses kaydetme
- Ekran görüntüsü al
- Birkaç VoIP uygulaması üzerinden sesli aramaları kaydedin
Ayrıca güvenlik analistleri, C2 sunucularının sık sık sızdırma verilerini silmesi nedeniyle ek kurbanlar ve toplanan veriler olabileceğini öne sürüyor.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin