Местные правоохранители используют зловредный софт для слежки за своими же гражданами.
Компания по мобильной кибербезопасности Lookout недавно проанализировала часть шпионского ПО для Android, используемого, предположительно, правительством Ирана для наблюдения за группами меньшинств в стране и отслеживания незаконного оборота оружия, алкоголя и наркотиков. Получившая название BouldSpy, вредоносная программа, вероятно, была установлена иранскими правоохранительными органами с использованием прямого физического доступа к устройствам жертв, предположительно полученного во время их задержания.
Исследованное шпионское ПО используется как минимум с 2020 года. На сегодняшний день идентифицировано более 300 жертв. Полученные во время исследования данные также свидетельствуют о потенциальном использовании программы BouldSpy для противодействия торговле людьми и мониторинга за ней. Однако, даже несмотря на благие намерения правоохранителей, едва ли их действия можно назвать законными.
Панель управления вредоносной программой позволяет иранским операторам управлять мобильными устройствами жертв, а само приложение может принимать облик любого популярного приложения с полным сохранением своей работоспособности.
«Учитывая вероятность физической установки в качестве начального вектора для BouldSpy, скорее всего, у жертв BouldSpy уже были установлены законные версии этих приложений. А когда их устройства были конфискованы, эти приложения были троянизированы, чтобы избежать случайного обнаружения жертвой», — отмечают исследователи Lookout.
На зараженных устройствах BouldSpy может собирать учётные данные, список установленных приложений, данные браузера, журналы вызовов, содержимое буфера обмена, списки контактов, информацию об устройстве, список файлов и папок и SMS-сообщения.
Вредоносная программа также позволяет операторам записывать телефонные звонки, делать фотографии с помощью камеры телефона, регистрировать нажатия клавиш, определять местоположение устройства, записывать аудио и делать скриншоты. Кроме того, BouldSpy может записывать голосовые вызовы жертв через различные приложения передачи голоса по VoIP, распространённые внутри Ирана.
BouldSpy выполняет свои вредоносные действия в фоновом режиме, злоупотребляя службами специальных возможностей Android. Шпионское ПО также отключает умное энергосбережение, чтобы предотвратить завершение процесса BouldSpy устройством. Но даже если это случится, вредонос обязательно вновь запустится после перезагрузки смартфона, так как прописывается в системный автозапуск.
Шпионское ПО может получать C2-команды через веб-трафик и посредством SMS-сообщений. Хоть она и шифрует файлы для эксфильтрации, но сам C2-трафик никак не шифруется, что и позволило исследователям засечь и перехватить его.
BouldSpy также содержит код программы-вымогателя, заимствованный из проекта с открытым исходным кодом CryDroid, но специалисты Lookout считают, что этот код в настоящий момент никак не используется.
Вот такого сюрприза можно ожидать на своём смартфоне после задержания в Исламской Республике Иран. Интересно, используют ли подобные шпионские стратегии в других странах?
От классики до авангарда — наука во всех жанрах