L’acteur menaçant parrainé par l’État et lié à la Russie, suivi sous le nom de Gamaredon, a été attribué à deux nouveaux outils de logiciels espions Android appelés OsEspion et PlainGnomec’est la première fois que l’adversaire est découvert en train d’utiliser des familles de logiciels malveillants uniquement mobiles dans ses campagnes d’attaque.
“BoneSpy et PlainGnome ciblent les anciens États soviétiques et se concentrent sur les victimes russophones”, Lookout dit dans une analyse. “BoneSpy et PlainGnome collectent des données telles que des messages SMS, des journaux d’appels, l’audio des appels téléphoniques, des photos des caméras des appareils, l’emplacement de l’appareil et des listes de contacts.”
Gamarédonégalement appelé Aqua Blizzard, Armageddon, BlueAlpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 et Winterflounder, est un groupe de piratage informatique affilié au Service fédéral de sécurité (FSB) russe.
La semaine dernière, le groupe Insikt de Recorded Future a révélé que l’acteur malveillant utilisait les tunnels Cloudflare comme tactique pour dissimuler son infrastructure de préparation hébergeant des charges utiles malveillantes telles que GammaDrop.
On pense que BoneSpy est opérationnel depuis au moins 2021. D’un autre côté, PlainGnome n’est apparu que plus tôt cette année. Les cibles de la campagne pourraient inclure l’Ouzbékistan, le Kazakhstan, le Tadjikistan et le Kirghizistan, sur la base des soumissions des artefacts par VirusTotal. Il n’existe à ce stade aucune preuve que le malware ait été utilisé pour cibler l’Ukraine, qui est l’unique objectif du groupe.
En septembre 2024, ESET a également révélé que Gamaredon avait tenté en vain d’infiltrer des cibles dans plusieurs pays de l’OTAN, à savoir la Bulgarie, la Lettonie, la Lituanie et la Pologne, en avril 2022 et février 2023.
Lookout a émis l’hypothèse que le ciblage de l’Ouzbékistan, du Kazakhstan, du Tadjikistan et du Kirghizistan « pourrait être lié à la détérioration des relations entre ces pays et la Russie depuis le début de l’invasion de l’Ukraine ».
L’attribution du nouveau malware à Gamaredon découle de la dépendance à l’égard des fournisseurs de DNS dynamiques et des chevauchements d’adresses IP qui pointent vers des domaines de commande et de contrôle (C2) utilisés dans les campagnes mobiles et de bureau.
BoneSpy et PlainGnome partagent une différence cruciale dans la mesure où le premier, dérivé du logiciel open source DroidWatcher Le logiciel espion est une application autonome, tandis que cette dernière agit comme un compte-gouttes pour une charge utile de surveillance qui y est intégrée. PlainGnome est également un malware personnalisé, mais qui nécessite que la victime lui accorde l’autorisation d’installer d’autres applications via REQUEST_INSTALL_PACKAGES.
Les deux outils de surveillance mettent en œuvre un large éventail de fonctions pour suivre la localisation, recueillir des informations sur l’appareil infecté et collecter des messages SMS, des journaux d’appels, des listes de contacts, l’historique du navigateur, des enregistrements audio, l’audio ambiant, des notifications, des photos, des captures d’écran et le fournisseur de services cellulaires. détails. Ils tentent également d’obtenir un accès root.
Le mécanisme exact par lequel les applications malveillantes sont distribuées reste flou, mais il est soupçonné d’impliquer une ingénierie sociale ciblée, se faisant passer pour des applications de surveillance de la charge de la batterie, des applications de galerie de photos, une fausse application Samsung Knox et un cheval de Troie entièrement fonctionnel. Application de télégramme.
“Bien que PlainGnome, qui a fait surface pour la première fois cette année, présente de nombreux chevauchements de fonctionnalités avec BoneSpy, il ne semble pas avoir été développé à partir de la même base de code”, a déclaré Lookout.