BouldSpy
A Lookout Threat Lab kutatói egy új Android-felügyeleti eszközt fedeztek fel, amelyet nagy valószínűséggel az Iráni Iszlám Köztársaság (FARAJA) bűnüldözési erőihez kötnek. A BouldSpy néven azonosított BoulderApplication kémprogramokat már 2020 óta hírszerző közösség Android botnetként és zsarolóvírusként jellemzi. Míg a BouldSpy tartalmaz ransomware kódot, a Lookout kutatói úgy értékelik, hogy ez nem használt és nem is működik, de folyamatos fejlesztésre vagy a megtévesztési kísérletére utalhat.
A C2 szerverekről gyűjtött adatok elemzése alapján a BouldSpy több mint 300 embert érintett, köztük olyan kisebbségi csoportokat, mint a kurdok, azeriek és esetleg örmény keresztény csoportok. A Lookout által gyűjtött bizonyítékok arra utalnak, hogy a kémprogramokat a fegyverekkel, kábítószerekkel és alkohollal kapcsolatos illegális kereskedelmek elleni küzdelemre és ellenőrzésre is használhatták.
A kutatók azt feltételezik, hogy a FARAJA fizikai hozzáférést használ az eszközökhöz, így valószínűleg a fogva tartás során telepítették a BouldSpy-t, hogy tovább figyelje a célpontot a szabadulás után. Az áldozatokra vonatkozó adatok nagy része azonban a szélesebb körű használatára utal, ami az Iránon belüli kisebbségekkel szembeni célzott megfigyelésre utal.