D’après l’analyse de Lookout des données exfiltrées des serveurs C2 du logiciel espion, BouldSpy a fait plus de 300 victimes, y compris des groupes minoritaires tels que les Kurdes iraniens, les Baloutches, les Azéris et peut-être des groupes chrétiens arméniens. Les preuves recueillies indiquent que le logiciel espion pourrait également avoir été utilisé dans le cadre de la lutte contre les trafics illégaux d’armes, de stupéfiants et d’alcool et de la surveillance de ces trafics.

Les experts Lookout pensent que la FARAJA utilise l’accès physique aux appareils, probablement obtenu pendant une détention, pour installer BouldSpy afin de surveiller davantage la cible après sa libération. Dans le cadre de leurs recherches, ils ont obtenu et examiné une grande quantité de données exfiltrées comprenant des photos et des communications sur l’appareil, telles que des captures d’écran de conversations, des enregistrements d’appels vidéo, ainsi que des SMS. L’analyse de Lookout a également révélé des photos de drogues, d’armes à feu et de documents officiels de la FARAJA qui indiquent une utilisation potentielle du logiciel malveillant par les forces de l’ordre. Cependant, la plupart des données relatives aux victimes indiquent une utilisation plus large, qui témoigne d’efforts de surveillance ciblés sur les minorités en Iran. Notamment, la plupart des activités du logiciel malveillant ont eu lieu au plus fort des manifestations de Mahsa Amini à la fin de l’année 2022.

Lookout estime que BouldSpy est une nouvelle famille de logiciels malveillants en raison du nombre relativement faible d’échantillons obtenus, ainsi que du manque de maturité de sa sécurité opérationnelle, comme le trafic C2 non chiffré, les détails de l’infrastructure C2 en clair codés en dur, l’absence d’obscurcissement des chaînes de caractères et l’incapacité à dissimuler ou à supprimer les artefacts d’intrusion. Jusqu’à présent, à la connaissance de Lookout, les applications découvertes n’ont jamais été distribuées via Google Play.

BouldSpy est un nouvel outil de surveillance qui tire parti de la nature particulière des appareils mobiles. Ce logiciel espion est particulièrement inquiétant compte tenu du bilan de l’Iran en matière de droits de l’homme. Les clients de Lookout Mobile Endpoint Security et de Lookout Life sont protégés contre cette menace.

Déploiement et fonctionnalités

Les premiers emplacements exfiltrés des victimes sont, à quelques exceptions près, concentrés près des postes de police provinciaux iraniens, des postes de la cyberpolice iranienne, des installations du commandement des forces de l’ordre et des postes de contrôle des frontières. Sur cette base, Lookout suppose que l’appareil d’une victime est confisqué une fois qu’elle est détenue ou arrêtée, et qu’il est ensuite physiquement infecté par BouldSpy.

L’acteur FARAJA offre des fonctions conviviales sur son panneau C2 pour gérer les appareils des victimes et créer de nouvelles applications malveillantes BouldSpy personnalisées. L’opérateur du logiciel malveillant peut choisir entre un nom de paquet par défaut « com.android.callservice » (se faisant passer pour un service du système Android lié à la gestion des appels téléphoniques), ou peut trojaniser diverses applications légitimes en insérant le pack « com.android.callservice ». En organisant les opérations de cette manière, les officiers de police iraniens ou d’autres personnes ayant de faibles compétences techniques peuvent facilement générer de nouveaux échantillons de logiciels malveillants, ce qui facilite l’intensification des opérations de déploiement avec une formation minimale.

Parmi les applications dont BouldSpy usurpe l’identité, citons CPU-Z, un outil d’analyse comparative des processeurs mobiles, Currency Converter Pro, un calculateur d’intérêts en persan, et une application nommée Fake Call, une application de farce qui génère de faux appels téléphoniques ou de faux messages textuels. En avril 2023, Lookout a également acquis un échantillon qui trojanisait Psiphon, une application VPN populaire qui a été téléchargée plus de 50 millions de fois.

Étant donné que l’installation physique est probablement le vecteur initial de BouldSpy, il est possible que les victimes de BouldSpy aient installé des versions légitimes de ces applications lorsque leurs appareils ont été confisqués, et que ces applications aient été trojanisées afin d’éviter d’être détectées par la victime.

Fonctionnalités de surveillance notables

• Obtention de tous les noms d’utilisateur des comptes disponibles sur l’appareil et de leurs types associés (tels que Google, Telegram, WhatsApp et autres).
• Liste des applications installées
• Historique du navigateur et signets
• Enregistrements d’appels en direct
• Journaux d’appels
• Prise de photos à partir des caméras de l’appareil
• Listes de contacts
• Informations sur l’appareil (adresse IP, informations sur la carte SIM, informations Wi-Fi, version Android et identifiants de l’appareil)
• Liste de tous les fichiers et dossiers présents sur l’appareil
• Contenu du presse-papiers
• Journaux de bord
• Localisation à partir du GPS, du réseau ou de l’opérateur cellulaire
• Messages SMS (envoyés, reçus et brouillons)
• Enregistrement audio à partir du microphone
• Effectuer des captures d’écran

Technical analysis
Persistent background activities
Most of BouldSpy’s surveillance actions happen in the background by abusing Android accessibility services. It also relies heavily on establishing a CPU wake lock and disabled battery management features to prevent the device from shutting down the spyware’s activities. As a result, victims could expect their device battery to drain much faster than normal. Once installed, the spyware will seek to establish a network connection to its C2 server and exfiltrate any cached data from the victim’s device to the server.
These actions occur when the user opens the app, or when the device is booted or rebooted. To make sure it can take actions frequently and consistently, BouldSpy uses a background service to handle most of the surveillance functionality. As illustrated in the below figure, the service restarts itself when its parent activity is stopped by either the user or the Android system.

Insecure C2 communication
We found that BouldSpy has the ability to encrypt files for exfiltration, but uses unencrypted web traffic between victim devices and the C2. This insecure implementation by the threat actor makes network analysis and detection easier by exposing the whole C2 communication in clear text.

Ability to run additional code
BouldSpy also has the ability to run arbitrary code, and download and run additional custom code from the C2, or run code within other apps as needed. This gives the malware additional options, such as the ability to improve its collection capabilities, introduce functionalities, or set up persistence in other apps.
SMS commands
Aside from the normal C2 via a web server, BouldSpy can also receive commands via SMS from a control phone, which is a fairly unique feature. This enables the spyware to surveil victims even in poorly-developed regions that lack internet availability, but are still reachable over standard cell networks.
SMS commands follow a format starting with asterisk (*) and ending with the hashtag/pound sign (#) with arbitrary text between them. The commands usually start with a three-digit number and are split into separate parameters which are separated by asterisks. The known commands are listed in the table below.
Command Function Parameters
760 Takes photos from device cameras Uses four parameters. These are the number of shots to take, the duration (unused), the wait time between shots, and whether to use the front or back camera. For example, the command *760*3*6*30*1# would take three photos from the front camera and wait 30 seconds between shots.
770 Records from the microphone Uses three parameters which are the number, duration, and wait time between recordings. For example, *770*2*30*40# takes two 30-second recordings with a 40-second delay between recordings.
780 Gets the device location Uses no parameters, but has unused placeholders. A known example is *780*1*1#.
790 Enables or disables Wi-Fi Uses just one parameter to enable or disable the device Wi-Fi. An example is *790*2# which enables Wi-Fi. *790*1# disables Wi-Fi.
140 Change C2 address This uses one long parameter consisting of seven parts. An example command setting the new C2 to 192.99.251[.]51:3000 looks like this : *140*119209925105130001#

BouldSpy samples ship with ransomware code borrowed from an open source Android ransomware project named CryDroid. However, Lookout researchers assess this code as unused and nonfunctional. This code might be a sign of an ongoing development or a false flag artifact to misdirect analysts.
Command and Control Infrastructure
Lookout found BouldSpy C2 servers at IP addresses 192.99.251[.]51, 192.99.251[.]50, 192.99.251[.]49, 192.99.251[.]54, 84.234.96[.]117, and 149.56.92[.]127. Of these, only 192.99.251[.]51 and 84.234.96[.]117 are currently active. A common feature of these is the use of port 3000 to access the C2’s administration panel, which requires authentication. From analyzing these servers, we were able to uncover the following victim information :
• 66,000 call logs
• 15,000 installed apps
• 100,000 contacts
• 3,700 user accounts
• 3,000 downloaded files
• 9,000 keylogs
• 900 locations
• 400,000 text messages
• 2,500 photos
We believe that there are likely more victims and associated data collected because exfiltration data on C2 servers are often cleared.
Indicators of Compromise (IOCs)
BouldSpy Sample SHA1s :
5168610b73f50661b998e95a74be25bfe749b6ef
af999714aec75a64529c59f1e8de4c669adfa97a
965d118cb80ccdbc6e95e530a314cb4b85ae1b42
f3b135555ae731b5499502f3b69724944ab367d5
02ac97b090a6b2a1b14bad839deec7d966f5642c
da3c0cfd432b53a602ce7dc5165848b88411d9c9
75a6c724f43168346b177a60c81ca179a436246f
08fd24e4514793b29b7bd2c29f9e5c15ffc9bada
73c93be188f88755ed690266063223e141fdb9ff
7537ac1658100efaf6558eed4a3f732208b393ab
7208dc915a800fe5c5eaf599084147a8afeba991
8afc495b6632ce9ef812a971f71ae82d39d7e7e9
43f5506b960914ab76ffaf531cdd51dd86df22f2
dd66dcb8db678d10f9589a12745ec2e575e4f5eb
69894818ba1dc8bfffe9fb384abf77d991379aaa
db650b0eaffa21b63ce84d31b2bd09720da9491e
67a3def7ad736df94c8c50947f785c0926142b69
63ff362f58c7b6dec8ea365a5dbc6a88ec09dacf
bc826967c90acc08f1f70aa018f5d13f31521b92
02c4969c45fd7ac913770f9db075eadf9785d3a7
5446e0cf2de0a888571ef1d521b9ada7b34ef33e
43a92743c8264a8d06724ab80139c0d31e8292ee
Command and Control :
149.56.92[.]127
192.99.251[.]49
192.99.251[.]50
192.99.251[.]51
192.99.251[.]54
84.234.96[.]117