最近的网络安全观察中,伊朗政府可能使用的一种新型 Android 间谍监控软件已被用来监视 300 多名属于少数族裔的个人。

这种被称为 BouldSpy 的恶意软件被认为是伊朗伊斯兰共和国执法司令部 ( FARAJA ) 所为。目标受害者包括伊朗库尔德人、俾路支人、阿塞拜疆人和亚美尼亚基督教团体。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,BouldSpy 与其他 Android 恶意软件系列一样,滥用其对 Android 无障碍服务的访问权限和其他侵入性权限来获取敏感数据,例如 Web 浏览器历史记录、照片、联系人列表、SMS 日志、击键、屏幕截图、剪贴板内容、麦克风音频和视频通话录音。

值得注意的是,BouldSpy 与上个月出现的代号为 DAAM 恶意程序为同一个 Android 恶意软件。

迄今为止收集的证据表明,BouldSpy 通过物理访问安装在目标设备上,并可能在拘留后被没收。这一理论得到了以下事实的支持:从受害设备收集的第一批地点主要集中在伊朗执法机构和边境管制站周围。

该恶意软件附带一个命令和控制 (C2) 面板来管理受害者设备,更不用说创建新的恶意应用程序伪装成看似无害的应用程序,如基准测试工具、货币转换器、利息计算器和 Psiphon 审查规避实用程序。

其他值得注意的功能包括它能够运行从 C2 服务器发送的附加代码,通过 SMS 消息接收命令,甚至禁用电池管理功能以防止设备终止间谍软件。

它还包含一个“未使用且无功能”的勒索软件组件,该组件从一个名为CryDroid的开源项目中借用其实现,这增加了它正在积极开发或者是由威胁者植入的虚假标记的可能性。