Muhtemelen İran hükümeti tarafından kullanılan yeni bir Android gözetleme yazılımı, azınlık gruplarına mensup 300’den fazla kişiyi gözetlemek için kullanıldı.
adlı kötü amaçlı yazılım BouldCasus, orta derecede bir güvenle İran İslam Cumhuriyeti Kolluk Kuvvetleri Komutanlığına (FARAJA) atfedilmiştir. Hedeflenen kurbanlar arasında İranlı Kürtler, Beluciler, Azeriler ve Ermeni Hıristiyan grupları yer alıyor.
Lookout, FARAJA tarafından yayınlanan uyuşturucu, ateşli silah fotoğrafları ve resmi belgeleri içeren sızdırılmış verilere dayanarak, “Casus yazılım, silah, uyuşturucu ve alkolle ilgili yasa dışı kaçakçılık faaliyetlerine karşı koyma ve bunları izleme çabalarında da kullanılmış olabilir.” Dedi.
BouldSpy, diğer Android kötü amaçlı yazılım aileleri gibi, Android’in erişilebilirlik hizmetlerine erişimini ve web tarayıcısı geçmişi, fotoğraflar, kişi listeleri, SMS günlükleri, tuş vuruşları, ekran görüntüleri, pano içeriği, mikrofon sesi ve görüntülü arama gibi hassas verileri toplamak için diğer müdahaleci izinleri kötüye kullanır. kayıtlar.
BouldSpy’ın geçen ay kendi analizinde Cyble’ın DAAM kod adını verdiği aynı Android kötü amaçlı yazılımından bahsettiğini belirtmekte fayda var.
Şimdiye kadar toplanan kanıtlar, BouldSpy’ın fiziksel erişim yoluyla hedeflerin cihazlarına yüklendiğini ve potansiyel olarak gözaltına alındıktan sonra el konulduğunu gösteriyor. Bu teori, kurbanların cihazlarından toplanan ilk konumların çoğunlukla İran kolluk kuvvetleri ve sınır kontrol karakolları çevresinde yoğunlaştığı gerçeğiyle destekleniyor.
Kötü amaçlı yazılım, kurban cihazları yönetmek için bir komut ve kontrol (C2) paneliyle birlikte gelir; kıyaslama araçları, para birimi dönüştürücüler, faiz hesaplayıcıları ve Psiphon sansür atlatma yardımcı programı gibi görünüşte zararsız görünen uygulamalar gibi görünen yeni kötü amaçlı uygulamalar oluşturmaktan bahsetmiyorum bile.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Diğer dikkate değer özellikler, C2 sunucusundan gönderilen ek kodu çalıştırma, SMS mesajları yoluyla komut alma ve hatta cihazın casus yazılımı sonlandırmasını önlemek için pil yönetimi özelliklerini devre dışı bırakma becerisini içerir.
Ayrıca, uygulamasını CryDroid adlı açık kaynaklı bir projeden ödünç alan ve aktif olarak geliştirilme veya tehdit aktörü tarafından dikilen bir yanlış bayrak olma olasılığını artıran “kullanılmayan ve işlevsiz” bir fidye yazılımı bileşeni içerir.
Lookout araştırmacıları, “Yüklendikten sonra, casus yazılım C2 sunucusuyla bir ağ bağlantısı kurmaya çalışacak ve önbelleğe alınmış verileri kurbanın cihazından sunucuya sızdıracak” dedi. “BouldSpy, mobil cihazların kişisel doğasından yararlanan başka bir gözetleme aracını temsil ediyor.”