Les chercheurs du Lookout Threat Lab ont découvert un nouvel outil de surveillance Android attribué avec une confiance modérée au Commandement des forces de l’ordre de la République islamique d’Iran (FARAJA). Baptisé BouldSpy pour la classe « BoulderApplication » qui configure la commande et le contrôle (C2) de l’outil, Lookoout suit le logiciel espion depuis mars 2020. À partir de 2023, le logiciel malveillant a attiré l’attention des chercheurs en sécurité sur Twitter et d’autres membres de la communauté du renseignement sur les menaces, qui l’ont qualifié de botnet Android et de ransomware. Bien que BouldSpy comprenne un code de ransomware, les chercheurs de Lookout estiment qu’il est inutilisé et non fonctionnel, mais qu’il pourrait indiquer un développement en cours ou une tentative de détournement de la part de l’acteur.
D’après l’analyse de Lookout des données exfiltrées des serveurs C2 du logiciel espion, BouldSpy a fait plus de 300 victimes, y compris des groupes minoritaires tels que les Kurdes iraniens, les Baloutches, les Azéris et peut-être des groupes chrétiens arméniens. Les preuves recueillies indiquent que le logiciel espion pourrait également avoir été utilisé dans le cadre de la lutte contre les trafics illégaux d’armes, de stupéfiants et d’alcool et de la surveillance de ces trafics.
Les experts Lookout pensent que la FARAJA utilise l’accès physique aux appareils, probablement obtenu pendant une détention, pour installer BouldSpy afin de surveiller davantage la cible après sa libération. Dans le cadre de leurs recherches, ils ont obtenu et examiné une grande quantité de données exfiltrées comprenant des photos et des communications sur l’appareil, telles que des captures d’écran de conversations, des enregistrements d’appels vidéo, ainsi que des SMS. L’analyse de Lookout a également révélé des photos de drogues, d’armes à feu et de documents officiels de la FARAJA qui indiquent une utilisation potentielle du logiciel malveillant par les forces de l’ordre. Cependant, la plupart des données relatives aux victimes indiquent une utilisation plus large, qui témoigne d’efforts de surveillance ciblés sur les minorités en Iran. Notamment, la plupart des activités du logiciel malveillant ont eu lieu au plus fort des manifestations de Mahsa Amini à la fin de l’année 2022.
Lookout estime que BouldSpy est une nouvelle famille de logiciels malveillants en raison du nombre relativement faible d’échantillons obtenus, ainsi que du manque de maturité de sa sécurité opérationnelle, comme le trafic C2 non chiffré, les détails de l’infrastructure C2 en clair codés en dur, l’absence d’obscurcissement des chaînes de caractères et l’incapacité à dissimuler ou à supprimer les artefacts d’intrusion. Jusqu’à présent, à la connaissance de Lookout, les applications découvertes n’ont jamais été distribuées via Google Play.
BouldSpy est un nouvel outil de surveillance qui tire parti de la nature particulière des appareils mobiles. Ce logiciel espion est particulièrement inquiétant compte tenu du bilan de l’Iran en matière de droits de l’homme. Les clients de Lookout Mobile Endpoint Security et de Lookout Life sont protégés contre cette menace.
Déploiement et fonctionnalités
Les premiers emplacements exfiltrés des victimes sont, à quelques exceptions près, concentrés près des postes de police provinciaux iraniens, des postes de la cyberpolice iranienne, des installations du commandement des forces de l’ordre et des postes de contrôle des frontières. Sur cette base, Lookout suppose que l’appareil d’une victime est confisqué une fois qu’elle est détenue ou arrêtée, et qu’il est ensuite physiquement infecté par BouldSpy.
L’acteur FARAJA offre des fonctions conviviales sur son panneau C2 pour gérer les appareils des victimes et créer de nouvelles applications malveillantes BouldSpy personnalisées. L’opérateur du logiciel malveillant peut choisir entre un nom de paquet par défaut « com.android.callservice » (se faisant passer pour un service du système Android lié à la gestion des appels téléphoniques), ou peut trojaniser diverses applications légitimes en insérant le pack « com.android.callservice ». En organisant les opérations de cette manière, les officiers de police iraniens ou d’autres personnes ayant de faibles compétences techniques peuvent facilement générer de nouveaux échantillons de logiciels malveillants, ce qui facilite l’intensification des opérations de déploiement avec une formation minimale.
Parmi les applications dont BouldSpy usurpe l’identité, citons CPU-Z, un outil d’analyse comparative des processeurs mobiles, Currency Converter Pro, un calculateur d’intérêts en persan, et une application nommée Fake Call, une application de farce qui génère de faux appels téléphoniques ou de faux messages textuels. En avril 2023, Lookout a également acquis un échantillon qui trojanisait Psiphon, une application VPN populaire qui a été téléchargée plus de 50 millions de fois.
Étant donné que l’installation physique est probablement le vecteur initial de BouldSpy, il est possible que les victimes de BouldSpy aient installé des versions légitimes de ces applications lorsque leurs appareils ont été confisqués, et que ces applications aient été trojanisées afin d’éviter d’être détectées par la victime.
Fonctionnalités de surveillance notables
- Obtention de tous les noms d’utilisateur des comptes disponibles sur l’appareil et de leurs types associés (tels que Google, Telegram, WhatsApp et autres).
- Liste des applications installées
- Historique du navigateur et signets
- Enregistrements d’appels en direct
- Journaux d’appels
- Prise de photos à partir des caméras de l’appareil
- Listes de contacts
- Informations sur l’appareil (adresse IP, informations sur la carte SIM, informations Wi-Fi, version Android et identifiants de l’appareil)
- Liste de tous les fichiers et dossiers présents sur l’appareil
- Contenu du presse-papiers
- Journaux de bord
- Localisation à partir du GPS, du réseau ou de l’opérateur cellulaire
- Messages SMS (envoyés, reçus et brouillons)
- Enregistrement audio à partir du microphone
- Effectuer des captures d’écran
[cc] Breizh-info.com, 2023, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine
