Було виявлено, що російські кібершпигуни Gamaredon використовують дві сімейства шпигунських програм Android під назвами «BoneSpy» і «PlainGnome» для шпигування та крадіжки даних із мобільних пристроїв.
За даними Lookout, які виявили два сімейства шкідливих програм, BoneSpy активно працює з 2021 року, а PlainGnome з’явився в 2024 році. Обидва націлені на російськомовних осіб у колишніх радянських країнах.
Gamaredon (він же «Shuckworm») вважається частиною Федерального агентства безпеки (ФСБ) Росії, і його діяльність тісно пов’язана з національними геополітичними інтересами країни.
Хоча група загроз використовувала різні інструменти зловмисного програмного забезпечення, BoneSpy і PlainGnome є першими задокументованими випадками шкідливого програмного забезпечення Gamaredon, націленого на мобільні пристрої, зокрема Android.
Від відкритого коду до спеціального шкідливого ПЗ
BoneSpy, який зазвичай доставлявся через троянські додатки Telegram або через імітацію Samsung Knox, базувався на додатку для стеження DroidWatcher з відкритим кодом, який був створений у 2013 році.
Рисунок 1: Уособлення Samsung Knox Manager
Lookout каже, що робота над розробкою BoneSpy досягла піку між січнем і жовтнем 2022 року, стабілізуючись до таких можливостей:
- Збирає SMS-повідомлення, включаючи відправника, вміст і мітки часу
- Записує навколишнє аудіо та телефонні розмови
- Зберігає дані GPS і стільникового місцезнаходження
- Робить знімки за допомогою камери та робить знімки екрана пристрою
- Доступ до історії веб-перегляду користувача
- Витягує імена, номери, електронні адреси та деталі викликів зі списку контактів і журналів викликів
- Доступ до вмісту буфера обміну
- Читає сповіщення пристрою
PlainGnome — це новіша спеціальна зловмисна програма Android для стеження, яка не використовує кодову базу відомого раніше проекту. Lookout спостерігав значні зміни у своєму коді з січня по жовтень цього року, що вказує на активний розвиток.
Нове зловмисне програмне забезпечення використовує двоетапний процес інсталяції, що розділяє дроппер і корисне навантаження, що робить його більш прихованим і універсальним.
PlainGnome має всі можливості збору даних BoneSpy, але також інтегрує розширені функції, такі як Jetpack WorkManager, щоб вилучати дані лише тоді, коли пристрій неактивний, зменшуючи ризики виявлення.
Зловмисне програмне забезпечення підтримує режим запису, який активується лише тоді, коли пристрій неактивний і екран вимкнено, щоб уникнути повідомлення жертвам через індикатори активації мікрофона про те, що за ними шпигують.
Незважаючи на підвищену складність операцій стеження, Lookout зазначає, що шпигунське програмне забезпечення наразі не містить жодної форми обфускації коду, тому аналіз швидко виявив його справжню природу.
Після запуску він запитує схвалення небезпечних дозволів, таких як доступ до SMS, контактів, журналів викликів і камер. Однак, враховуючи його маскування як комунікаційну програму, жертви можуть обманом змусити схвалити запит.
Lookout зазначає, що ані BoneSpy, ані PlainGnome ніколи не були знайдені в Google Play, тому їх, швидше за все, завантажують із веб-сайтів, на які жертви спрямовують за допомогою соціальної інженерії. Цей підхід відповідає вузькому діапазону націлювання Gamaredon.
Доповідь дослідника підкреслює все більшу увагу Gamaredon до пристроїв Android, демонструючи тактику групи, що розвивається, щоб розширити свої можливості стеження на мобільні пристрої, які все частіше використовуються в усіх аспектах нашого життя і роблять їх цінними мішенями.
Google підтвердив BleepingComputer, що Google Play Protect автоматично захищає від відомих версій цього шкідливого програмного забезпечення.