
El actor de amenazas patrocinado por el estado vinculado a Rusia, rastreado como Gamaredon, ha sido atribuido a dos nuevas herramientas de software espía para Android llamadas huesoespía y gnomo llanolo que marca la primera vez que se descubre que el adversario utiliza familias de malware solo para dispositivos móviles en sus campañas de ataque.
“BoneSpy y PlainGnome apuntan a los antiguos estados soviéticos y se centran en las víctimas de habla rusa”, Lookout dicho en un análisis. “Tanto BoneSpy como PlainGnome recopilan datos como mensajes SMS, registros de llamadas, audio de llamadas telefónicas, fotos de las cámaras de los dispositivos, ubicación del dispositivo y listas de contactos”.
Gamaredóntambién llamado Aqua Blizzard, Armageddon, BlueAlpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 y Winterflounder, es un grupo de hackers afiliado al Servicio Federal de Seguridad (FSB) de Rusia.
La semana pasada, Insikt Group de Recorded Future reveló el uso de Cloudflare Tunnels por parte del actor de amenazas como táctica para ocultar su infraestructura de prueba que alberga cargas útiles maliciosas como GammaDrop.
Se cree que BoneSpy ha estado operativo desde al menos 2021. Por otro lado, PlainGnome surgió apenas a principios de este año. Los objetivos de la campaña posiblemente incluyan Uzbekistán, Kazajstán, Tayikistán y Kirguistán según las presentaciones de los artefactos por parte de VirusTotal. No hay pruebas en este momento de que el malware se haya utilizado para atacar a Ucrania, que ha sido el único objetivo del grupo.
En septiembre de 2024, ESET también reveló que Gamaredon intentó sin éxito infiltrarse en objetivos en varios países de la OTAN, a saber, Bulgaria, Letonia, Lituania y Polonia en abril de 2022 y febrero de 2023.
Lookout ha teorizado que los ataques a Uzbekistán, Kazajstán, Tayikistán y Kirguistán “pueden estar relacionados con el empeoramiento de las relaciones entre estos países y Rusia desde el estallido de la invasión de Ucrania”.
La atribución del nuevo malware a Gamaredon se debe a la dependencia de proveedores de DNS dinámicos y a las superposiciones en las direcciones IP que apuntan a dominios de comando y control (C2) utilizados en campañas tanto móviles como de escritorio.
BoneSpy y PlainGnome comparten una diferencia crucial en que el primero, derivado del código abierto DroidWatcher spyware, es una aplicación independiente, mientras que esta última actúa como un gotero para una carga útil de vigilancia incorporada en ella. PlainGnome también es un malware hecho a medida, pero requiere que la víctima le otorgue permiso para instalar otras aplicaciones a través de REQUEST_INSTALL_PACKAGES.
Ambas herramientas de vigilancia implementan una amplia gama de funciones para rastrear la ubicación, recopilar información sobre el dispositivo infectado y recopilar mensajes SMS, registros de llamadas, listas de contactos, historial del navegador, grabaciones de audio, audio ambiental, notificaciones, fotos, capturas de pantalla y proveedor de servicios celulares. detalles. También intentan obtener acceso de root.
El mecanismo exacto por el cual se distribuyen las aplicaciones con malware aún no está claro, pero se sospecha que involucra ingeniería social dirigida, haciéndose pasar por aplicaciones de monitoreo de carga de batería, aplicaciones de galería de fotos, una aplicación falsa de Samsung Knox y una aplicación completamente funcional pero troyanizada. Aplicación de telegrama.
“Si bien PlainGnome, que apareció por primera vez este año, tiene muchas superposiciones en funcionalidad con BoneSpy, no parece haber sido desarrollado a partir de la misma base de código”, dijo Lookout.







