Spyware Android: Un’analisi approfondita

spyware-android-bouldspy

Nell’era digitale, la sicurezza dei nostri dispositivi è diventata una priorità. Uno dei problemi più gravi riguarda il spyware, software malevoli che si infiltrano nei nostri dispositivi per rubare informazioni sensibili. Questo articolo si concentrerà sullo spyware Android, prendendo spunto da un caso di studio recente: il spyware BouldSpy, legato alle forze di polizia iraniane.

Cos’è BouldSpy, uno Strumento di Sorveglianza Avanzato

BouldSpy è un potente strumento di sorveglianza per Android, scoperto dai ricercatori del Lookout Threat Lab. Questo spyware è stato attribuito con una moderata sicurezza al Comando delle Forze dell’Ordine della Repubblica Islamica dell’Iran (FARAJA). Il nome “BouldSpy” deriva dalla classe “BoulderApplication”, che configura il comando e il controllo (C2) dello strumento.

Il software è stato monitorato dai ricercatori a partire dal marzo 2020. A partire dal 2023, il malware ha attirato l’attenzione della comunità di intelligence sulla minaccia, che lo ha caratterizzato come un botnet e ransomware Android. Sebbene BouldSpy includa codice ransomware, i ricercatori di Lookout ritengono che sia inutilizzato e non funzionale, ma potrebbe indicare uno sviluppo in corso o un tentativo di depistaggio da parte dell’attore.

Microspie e Telecamere Spia
Visita il nostro Spy Shop

BouldSpy ha vittimizzato più di 300 persone, tra cui gruppi minoritari come i curdi iraniani, i baluchi, gli azeri e potenzialmente i gruppi cristiani armeni. Le prove raccolte suggeriscono che il software spia potrebbe essere stato utilizzato anche in sforzi per contrastare e monitorare l’attività di traffico illegale legata alle armi, alle droghe e all’alcol.

Si ritiene che FARAJA utilizzi l’accesso fisico ai dispositivi, probabilmente ottenuto durante la detenzione, per installare BouldSpy e monitorare ulteriormente il bersaglio al rilascio. L’analisi ha rivelato foto di droghe, armi da fuoco e documenti ufficiali di FARAJA che indicano un potenziale utilizzo delle forze dell’ordine del malware.

Nonostante il numero relativamente piccolo di campioni ottenuti e la mancanza di maturità intorno alla sua sicurezza operativa, come il traffico C2 non crittografato, i dettagli dell’infrastruttura C2 in testo normale codificati, la mancanza di offuscamento delle stringhe e l’incapacità di nascondere o rimuovere gli artefatti di intrusione, BouldSpy rappresenta una nuova famiglia di malware.

Come funziona BouldSpy?

BouldSpy ha vittimizzato più di 300 persone, tra cui gruppi minoritari come i curdi iraniani, i baluchi, gli azeri e potenzialmente i gruppi cristiani armeni. Il software spia potrebbe essere stato utilizzato anche per contrastare e monitorare attività illegali legate al traffico di armi, droghe e alcol.

Si ritiene che FARAJA utilizzi l’accesso fisico ai dispositivi, probabilmente ottenuto durante la detenzione, per installare BouldSpy e monitorare ulteriormente il bersaglio al rilascio. L’analisi ha rivelato foto di droghe, armi da fuoco e documenti ufficiali di FARAJA che indicano un potenziale utilizzo delle forze dell’ordine del malware.

Analisi Tecnica di BouldSpy

BouldSpy è un software spia altamente sofisticato con una serie di funzionalità che gli permettono di infiltrarsi e monitorare i dispositivi Android.

Capacità di Sorveglianza

BouldSpy ha una serie di capacità di sorveglianza notevoli. Può ottenere tutti i nomi utente disponibili sul dispositivo e i loro tipi associati (come Google, Telegram, WhatsApp e altri), l’elenco delle app installate, la cronologia del browser e i segnalibri, le registrazioni delle chiamate in diretta, i log delle chiamate, le foto dai dispositivi di fotocamere, le liste dei contatti, le informazioni sul dispositivo, l’elenco di tutti i file e le cartelle sul dispositivo, il contenuto degli appunti, i keylog, la posizione da GPS, rete o provider di celle, i messaggi SMS (inviati, ricevuti e bozze), l’audio registrato dal microfono e gli screenshot.

Inoltre, BouldSpy ha la capacità di registrare chiamate vocali su molteplici app Voice over IP (VoIP) oltre all’app standard del telefono Android. Queste includono WhatsApp, Blackberry BBM, Turkcell, BOTIM, Kakao, LINE, le chiamate VoIP di mail.ru, Telegram VoIP, la funzionalità VoIP di Microsoft Office 365, Skype, Slack VoIP, Tango, TextNow, Viber, Vonage e WeChat.

Attività in Background

La maggior parte delle azioni di sorveglianza di BouldSpy avvengono in background, abusando dei servizi di accessibilità di Android. Si basa anche pesantemente sull’istituzione di un blocco di risveglio della CPU e sulla disabilitazione delle funzionalità di gestione della batteria per impedire al dispositivo di interrompere le attività del spyware. Di conseguenza, le vittime potrebbero notare che la batteria del loro dispositivo si scarica molto più velocemente del normale.

Comunicazione con il Server di Comando e Controllo (C2)

BouldSpy ha la capacità di crittografare i file per l’esfiltrazione, ma utilizza il traffico web non crittografato tra i dispositivi vittima e il C2. Questa implementazione insicura da parte dell’attore della minaccia rende l’analisi della rete e il rilevamento più facili, esponendo l’intera comunicazione C2 in chiaro.

Esecuzione di Codice Aggiuntivo

BouldSpy ha anche la capacità di eseguire codice arbitrario, scaricare ed eseguire codice personalizzato aggiuntivo dal C2, o eseguire codice all’interno di altre app secondo necessità. Questo dà al malware opzioni aggiuntive, come la capacità di migliorare le sue capacità di raccolta, introdurre funzionalità o impostare la persistenza in altre app.

Microspie e Telecamere Spia
Visita il nostro Spy Shop

Comandi SMS

Oltre al normale C2 tramite un server web, BouldSpy può anche ricevere comandi tramite SMS da un telefono di controllo, che è una caratteristica piuttosto unica. Questo consente al software spia di sorvegliare le vittime anche in regioni poco sviluppate che mancano di disponibilità di internet, ma sono comunque raggiungibili tramite reti cellulari standard.

Le capacità di sorveglianza di BouldSpy

BouldSpy ha una serie di capacità di sorveglianza notevoli. Può ottenere tutti i nomi utente disponibili sul dispositivo e i loro tipi associati (come Google, Telegram, WhatsApp e altri), l’elenco delle app installate, la cronologia del browser e i segnalibri, le registrazioni delle chiamate in diretta, i log delle chiamate, le foto dai dispositivi di fotocamere, le liste dei contatti, le informazioni sul dispositivo, l’elenco di tutti i file e le cartelle sul dispositivo, il contenuto degli appunti, i keylog, la posizione da GPS, rete o provider di celle, i messaggi SMS (inviati, ricevuti e bozze), l’audio registrato dal microfono e gli screenshot.

BouldSpy è dotato di una serie di capacità di sorveglianza avanzate che gli permettono di raccogliere una vasta gamma di informazioni dai dispositivi infetti. Ecco un elenco dettagliato delle sue funzionalità:

  1. Raccolta di nomi utente: BouldSpy può ottenere tutti i nomi utente disponibili sul dispositivo e i loro tipi associati. Questo include account di vari servizi come Google, Telegram, WhatsApp e altri.
  2. Elenco delle app installate: Il spyware può raccogliere un elenco completo delle applicazioni installate sul dispositivo.
  3. Cronologia del browser e segnalibri: BouldSpy è in grado di accedere alla cronologia di navigazione dell’utente e ai segnalibri salvati.
  4. Registrazione delle chiamate: Il software spia può registrare le chiamate in diretta, fornendo un registro completo delle conversazioni telefoniche dell’utente.
  5. Log delle chiamate: Oltre alla registrazione delle chiamate, BouldSpy può anche raccogliere i log delle chiamate, fornendo un registro di tutte le chiamate effettuate e ricevute.
  6. Fotografie: BouldSpy può scattare foto utilizzando le fotocamere del dispositivo.
  7. Liste dei contatti: Il software spia può accedere e raccogliere l’intera lista dei contatti dell’utente.
  8. Informazioni sul dispositivo: BouldSpy può raccogliere una serie di informazioni sul dispositivo, tra cui l’indirizzo IP, le informazioni sulla SIM card, le informazioni Wi-Fi, la versione Android e gli identificatori del dispositivo.
  9. Elenco di file e cartelle: Il spyware può ottenere un elenco di tutti i file e le cartelle presenti sul dispositivo.
  10. Contenuto degli appunti: BouldSpy può accedere al contenuto degli appunti del dispositivo, permettendo al software spia di vedere qualsiasi testo che l’utente ha copiato.
  11. Keylogs: Il software spia può registrare ogni tasto premuto sull’apparecchio, fornendo un registro completo dell’attività dell’utente.
  12. Localizzazione: BouldSpy può ottenere la posizione del dispositivo utilizzando il GPS, la rete o il provider di celle.
  13. Messaggi SMS: Il software spia può accedere a tutti i messaggi SMS inviati, ricevuti e salvati come bozze.
  14. Registrazione audio: BouldSpy può registrare l’audio dal microfono del dispositivo.
  15. Screenshot: Il software spia può catturare screenshot del dispositivo.

Una delle capacità notevoli di BouldSpy è la sua capacità di registrare chiamate vocali su molteplici app Voice over IP (VoIP) oltre all’app standard del telefono Android. Queste includono WhatsApp, Blackberry BBM, Turkcell, BOTIM, Kakao, LINE, le chiamate VoIP di mail.ru, le chiamate VoIP di Telegram, la funzionalità VoIP di Microsoft Office 365, Skype, le chiamate VoIP di Slack, Tango, TextNow, Viber, Vonage e WeChat.

Conclusioni

BouldSpy rappresenta un altro strumento di sorveglianza che sfrutta la natura personale dei dispositivi mobili. Il software spia è particolarmente preoccupante data la storia dei diritti umani dell’Iran. La sicurezza dei dispositivi mobili è fondamentale per proteggere le nostre informazioni personali e sensibili. È importante essere consapevoli dei rischi e prendere le misure necessarie per proteggere i nostri dispositivi.

Clicca per votare questo articolo!
[Voti: 2 Media: 4]

Autore

  • Francesco Polimeni è un esperto riconosciuto nel campo del Technical Surveillance Counter Measures (TSCM), con oltre trent'anni di esperienza nel settore della sicurezza e del controspionaggio.

    Dopo una carriera come agente della Polizia di Stato, ha fondato Polinet S.r.l. a Roma, un'azienda leader nelle bonifiche elettroniche e nella vendita di dispositivi di sorveglianza.

    Dal 2001 è Amministratore Unico della Polinet S.r.l., tra le società leader in Italia esperte in tecnologie di Controsorveglianza e Anti Intercettazioni.

    La sua specializzazione include la bonifica di microspie in ambienti privati e professionali, nonché la rimozione di localizzatori GPS nascosti nei veicoli.

    Polimeni è anche un volto noto nei media italiani, avendo partecipato a numerose trasmissioni televisive di rilievo come "Porta a Porta" e "Matrix", dove è spesso invitato come esperto per discutere di tematiche legate alla sicurezza delle informazioni e al controspionaggio.

    La sua attività non si limita alla capitale; infatti, offre i suoi servizi di bonifica in tutta Italia, mantenendo un alto livello di riservatezza e professionalità in ogni intervento.

    Francesco Polimeni è iscritto al Ruolo Periti ed Esperti dalla C.C.I.A.A. di Roma al numero *** RM-2368 *** quale "Esperto in Sistemi di Prevenzione del Crimine".

    Competenze chiave:

    - Bonifiche elettroniche e rimozione di dispositivi di sorveglianza

    - Consulenze tecniche per la prevenzione del crimine

    - Utilizzo di tecnologie avanzate per il rilevamento di localizzatori GPS

    - Esperienza pluriennale nel settore TSCM e controspionaggio

    Visualizza tutti gli articoli

Related posts

Leave a Comment