ARAJA, el Comando de Aplicación de la Ley de la República Islámica de Irán, ha sido vinculado al nuevo software malicioso BouldSpy, un spyware utilizado para espiar a más de 300 personas pertenecientes a minorías étnicas y religiosas.

Entre las víctimas se encuentran kurdos iraníes, baluchis, azeríes y cristianos armenios. Los datos exfiltrados del spyware sugieren que también se ha utilizado para monitorizar la actividad ilegal relacionada con armas, drogas y alcohol.

Según reporta The Hacker News, BouldSpy es un malware para Android que, como otras familias de malware similares, se aprovecha de su acceso a los servicios de accesibilidad y otros permisos intrusivos para recopilar datos delicados de los dispositivos infectados.

Esta información incluye el historial de navegación web, fotos, listas de contactos, registros de SMS, pulsaciones de teclas, capturas de pantalla, contenido del portapapeles, audio del micrófono y grabaciones de videollamadas. Cabe mencionar que BouldSpy es el mismo malware para Android que Cyble nombró como DAAM en su propio análisis el mes pasado.

Hasta ahora, las pruebas reunidas indican que BouldSpy se instala en los dispositivos de las víctimas mediante acceso físico, posiblemente confiscados después de la detención. Esta teoría se refuerza por el hecho de que las primeras ubicaciones recopiladas de los dispositivos de las víctimas están principalmente concentradas en establecimientos de aplicación de la ley iraníes y puestos de control fronterizo.

El malware viene acompañado de un panel de control para gestionar los dispositivos de las víctimas, además de crear nuevas aplicaciones maliciosas que se hacen pasar por aplicaciones aparentemente inofensivas como herramientas de evaluación, convertidores de divisas, calculadoras de intereses y la utilidad de circunvalación de la censura Psiphon.

pegasus spyware informacion espionaje software espia nso israel articulo reportaje bit life media

BouldSpy también tiene otras características notables, como la capacidad de ejecutar código adicional enviado desde el servidor C2, recibir comandos a través de mensajes SMS e incluso desactivar las funciones de gestión de batería para evitar que el dispositivo termine el spyware.

Además, cuenta con un componente de ransomware «no utilizado y no funcional» que utiliza la implementación de un proyecto de código abierto llamado CryDroid, lo que sugiere la posibilidad de que esté siendo desarrollado activamente o que sea una bandera falsa plantada por el actor de amenazas.

Investigadores de Lookout han explicado que el spyware BouldSpy representa un nuevo instrumento de vigilancia que se aprovecha de la naturaleza personal de los dispositivos móviles. Una vez instalado, busca establecer una conexión de red con su servidor C2 y exfiltrar los datos almacenados en caché del dispositivo de la víctima hacia el servidor.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre