BouldSpy Spyware IOCs

Spyware IOC
Опубликовано

Исследователи из Лаборатории угроз Lookout обнаружили новый инструмент слежения для Android, который мы с умеренной уверенностью приписывают командованию правоохранительных органов Исламской Республики Иран (FARAJA).

BouldSpy Spyware

Названное BouldSpy в честь класса "BoulderApplication", который настраивает командование и управление (C2) инструмента, Lookout отслеживает шпионское ПО с марта 2020 года. Начиная с 2023 года, вредоносное ПО привлекло внимание исследователей безопасности в Twitter и других представителей сообщества специалистов по анализу угроз, характеризующих его как ботнет для Android и программу выкупа. Хотя BouldSpy включает код вымогательского ПО, исследователи Lookout оценивают его как неиспользуемый и нефункциональный, что может свидетельствовать о продолжающейся разработке или попытке агента ввести в заблуждение.

На основе анализа данных, полученных с C2-серверов шпионской программы, BouldSpy стал жертвой более 300 человек, включая такие меньшинства, как иранские курды, белуджи, азербайджанцы и, возможно, армянские христианские группы. Собранные нами доказательства указывают на то, что шпионское ПО также могло использоваться в целях противодействия и мониторинга незаконной деятельности, связанной с торговлей оружием, наркотиками и алкоголем.

Lookout пологают, что FARAJA использует физический доступ к устройствам, вероятно, полученным во время задержания, для установки BouldSpy с целью дальнейшего наблюдения за целью после освобождения. В ходе исследования Lookout получили и проанализировали большое количество эксфильтрованных данных, которые включали фотографии и коммуникации устройства, такие как скриншоты разговоров, записи видеозвонков, а также журналы SMS. Анализ также выявил фотографии наркотиков, огнестрельного оружия и официальных документов FARAJA, которые указывают на потенциальное использование вредоносной программы правоохранительными органами. Однако большая часть данных о жертвах указывает на ее более широкое использование, что свидетельствует о целенаправленной слежке за меньшинствами в Иране. Примечательно, что большая часть действий вредоносной программы пришлась на период разгара протестов Махсы Амини в конце 2022 года.

Lookout считают BouldSpy новым семейством вредоносных программ, основываясь на относительно небольшом количестве полученных образцов, а также на недостаточной зрелости его операционной безопасности, такой как незашифрованный трафик C2, жесткий открытый текст деталей инфраструктуры C2, отсутствие обфускации строк, а также неспособность скрыть или удалить артефакты вторжения. До сих пор, насколько известно, приложения, которые Lookout обнаружили и описали в этой статье, никогда не распространялись через Google Play.

BouldSpy представляет собой еще один инструмент слежки, использующий персональный характер мобильных устройств. Это шпионское ПО вызывает особое беспокойство, учитывая положение дел в Иране с правами человека.

Первые места эксфильтрации данных жертв, за редким исключением, сосредоточены вблизи иранских провинциальных полицейских участков, иранских киберполицейских участков, объектов командования правоохранительных органов и пограничных постов. Исходя из этого, Lookout предполагают, что устройство жертвы конфискуется при задержании или аресте, а затем физически заражается программой BouldSpy.

Агент FARAJA предоставляет удобные функции на своей панели C2 для управления устройствами жертв и создания новых пользовательских приложений BouldSpy. Оператор вредоносного ПО может выбрать имя пакета по умолчанию "com.android.callservice" (выдавая себя за системную службу Android, связанную с обработкой телефонных звонков) или троянизировать различные легитимные приложения путем вставки пакета "com.android.callservice". Организуя операции таким образом, иранские полицейские или другой персонал с низкими техническими навыками могут легко генерировать новые образцы вредоносного ПО, что облегчает наращивание операций по внедрению с минимальной подготовкой.

Некоторые из приложений, за которые выдает себя BouldSpy, включают CPU-Z, инструмент для бенчмаркинга мобильных процессоров, Currency Converter Pro, калькулятор процентов на персидском языке, и приложение под названием Fake Call, которое является приложением для розыгрышей, генерирующим фальшивые телефонные звонки или текстовые сообщения. В апреле 2023 года мы также получили образец трояна для Psiphon, популярного приложения VPN, которое имеет более 50 миллионов загрузок.

Учитывая вероятность физической установки в качестве начального вектора для BouldSpy, возможно, что у жертв BouldSpy были установлены легитимные версии этих приложений, когда их устройства были конфискованы, и эти приложения были троянизированы, чтобы избежать обнаружения жертвой.

Примечательные возможности слежки

  • Получение всех доступных на устройстве имен пользователей аккаунтов и связанных с ними типов (таких как Google, Telegram, WhatsApp и другие)
  • Список установленных приложений
  • История браузера и закладки
  • Записи разговоров в реальном времени
  • Журналы вызовов
  • Съемка фотографий с камер устройства
  • Списки контактов
  • Информация об устройстве (IP-адрес, информация о SIM-карте, информация о Wi-Fi, версия Android и идентификаторы устройства)
  • Список всех файлов и папок на устройстве
  • Содержимое буфера обмена
  • Записи с клавиатуры
  • Местоположение по данным GPS, сети или сотового оператора
  • SMS-сообщения (отправленные, полученные и черновики)
  • Запись звука с микрофона
  • Делать скриншоты

Примечательной возможностью BouldSpy является то, что он может записывать голосовые вызовы через несколько приложений Voice over IP (VoIP), а также через стандартное приложение телефона Android. К ним относятся:

  • WhatsApp
  • Blackberry BBM
  • Turkcell
  • BOTIM
  • Kakao
  • LINE
  • mail.ru VoIP звонки
  • Telegram VoIP
  • Microsoft Office 365 VoIP
  • Skype
  • Slack VoIP
  • Tango
  • TextNow
  • Viber
  • Vonage
  • WeChat

Большая часть действий BouldSpy по слежке происходит в фоновом режиме, злоупотребляя службами доступности Android. Он также в значительной степени полагается на установку блокировки пробуждения процессора и отключение функций управления аккумулятором, чтобы предотвратить отключение устройства от деятельности шпионской программы. В результате жертвы могут ожидать, что батарея их устройства будет разряжаться гораздо быстрее, чем обычно. После установки шпионская программа пытается установить сетевое соединение со своим сервером C2 и передать все кэшированные данные с устройства жертвы на сервер.

Эти действия происходят, когда пользователь открывает приложение, или когда устройство загружается или перезагружается. Чтобы убедиться, что BouldSpy может выполнять действия часто и последовательно, он использует фоновую службу для обработки большинства функций наблюдения. Служба перезапускается сама, когда ее родительская активность останавливается пользователем или системой Android.

Lookout обнаружили, что BouldSpy имеет возможность шифровать файлы для эксфильтрации, но использует незашифрованный веб-трафик между устройствами жертвы и C2. Такая небезопасная реализация со стороны угрожающего агента облегчает анализ и обнаружение сети, раскрывая всю коммуникацию C2 открытым текстом.

BouldSpy также имеет возможность запускать произвольный код, загружать и запускать дополнительный пользовательский код из C2 или запускать код в других приложениях по мере необходимости. Это дает вредоносной программе дополнительные возможности, например, возможность улучшить свои возможности по сбору данных, внедрить функциональные возможности или настроить постоянство в других приложениях.

SMS-команды

Помимо обычного C2 через веб-сервер, BouldSpy может получать команды по SMS с управляющего телефона, что является довольно уникальной функцией. Это позволяет программе-шпиону следить за жертвами даже в слаборазвитых регионах, где нет интернета, но есть доступ к стандартным сотовым сетям.

SMS-команды имеют формат, начинающийся со звездочки (*) и заканчивающийся хэштегом/знаком фунта (#) с произвольным текстом между ними. Команды обычно начинаются с трехзначного числа и разбиваются на отдельные параметры, которые разделяются звездочками. Известные команды перечислены в таблице ниже.

  • 760 Делает снимки с камер устройства Использует четыре параметра. Это количество снимков, длительность (не используется), время ожидания между снимками и то, какую камеру использовать - переднюю или заднюю. Например, команда *760*3*6*30*1# сделает три снимка с передней камеры и подождет 30 секунд между снимками.
  • 770 Запись с микрофона Использует три параметра, которыми являются количество, продолжительность и время ожидания между записями. Например, *770*2*30*40# делает две 30-секундные записи с 40-секундной задержкой между записями.
  • 780 Получает местоположение устройства Не использует параметров, но имеет неиспользуемые заполнители. Известный пример - *780*1*1#.
  • 790 Включение или отключение Wi-Fi Использует только один параметр для включения или отключения Wi-Fi устройства. Примером является *790*2#, который включает Wi-Fi. *790*1# отключает Wi-Fi.
  • 140 Изменить адрес C2 Используется один длинный параметр, состоящий из семи частей. Пример команды, устанавливающей новый адрес C2 на 192.99.251[.]51:3000, выглядит следующим образом: *140*119209925105130001#

Образцы BouldSpy поставляются с кодом вымогательского ПО, заимствованным из проекта вымогательского ПО для Android с открытым исходным кодом под названием CryDroid. Однако исследователи Lookout оценивают этот код как неиспользуемый и нефункциональный. Этот код может быть признаком ведущейся разработки или ложным артефактом для введения аналитиков в заблуждение.

Компания Lookout обнаружила серверы BouldSpy C2 по IP-адресам 192.99.251[.]51, 192.99.251[.]50, 192.99.251[.]49, 192.99.251[.]54, 84.234.96[.]117 и 149.56.92[.]127. Из них только 192.99.251[.]51 и 84.234.96[.]117 в настоящее время активны. Их общей особенностью является использование порта 3000 для доступа к административной панели C2, что требует аутентификации. Анализируя эти серверы, мы смогли обнаружить следующую информацию о жертвах:

  • 66 000 журналов звонков
  • 15 000 установленных приложений
  • 100 000 контактов
  • 3 700 учетных записей пользователей
  • 3 000 загруженных файлов
  • 9 000 логов клавиатуры
  • 900 местоположений
  • 400 000 текстовых сообщений
  • 2 500 фотографий

Lookout считают, что жертв и связанных с ними данных, скорее всего, больше, поскольку данные об эксфильтрации на серверах C2 часто очищаются.

Indicators of Compromise

IPv4

  • 149.56.92.127
  • 192.99.251.49
  • 192.99.251.50
  • 192.99.251.51
  • 192.99.251.54
  • 84.234.96.117

SHA1

  • 02ac97b090a6b2a1b14bad839deec7d966f5642c
  • 02c4969c45fd7ac913770f9db075eadf9785d3a7
  • 08fd24e4514793b29b7bd2c29f9e5c15ffc9bada
  • 43a92743c8264a8d06724ab80139c0d31e8292ee
  • 43f5506b960914ab76ffaf531cdd51dd86df22f2
  • 5168610b73f50661b998e95a74be25bfe749b6ef
  • 5446e0cf2de0a888571ef1d521b9ada7b34ef33e
  • 63ff362f58c7b6dec8ea365a5dbc6a88ec09dacf
  • 67a3def7ad736df94c8c50947f785c0926142b69
  • 69894818ba1dc8bfffe9fb384abf77d991379aaa
  • 7208dc915a800fe5c5eaf599084147a8afeba991
  • 73c93be188f88755ed690266063223e141fdb9ff
  • 7537ac1658100efaf6558eed4a3f732208b393ab
  • 75a6c724f43168346b177a60c81ca179a436246f
  • 8afc495b6632ce9ef812a971f71ae82d39d7e7e9
  • 965d118cb80ccdbc6e95e530a314cb4b85ae1b42
  • af999714aec75a64529c59f1e8de4c669adfa97a
  • bc826967c90acc08f1f70aa018f5d13f31521b92
  • da3c0cfd432b53a602ce7dc5165848b88411d9c9
  • db650b0eaffa21b63ce84d31b2bd09720da9491e
  • dd66dcb8db678d10f9589a12745ec2e575e4f5eb
  • f3b135555ae731b5499502f3b69724944ab367d5

 

Похожие записи:
  1. RatMilad Spyware IOCs
  2. DolphinCape Spyware IOCs
  3. MoneyMonger Malware IOCs
  4. Godfather Trojan IOCs
  5. Godfather Malware IOCs
Android BouldSpy Lookout Spyware
Добавить комментарий