Οι Ρώσοι κυβερνοκατάσκοποι στοχεύουν χρήστες Android με νέο λογισμικό κατασκοπείας

Οι Ρώσοι κυβερνοκατάσκοποι Gamaredon ανακαλύφθηκαν χρησιμοποιώντας δύο οικογένειες Android spyware που ονομάζονται «BoneSpy» και «PlainGnome» για κατασκοπεία και κλοπή δεδομένων από κινητές συσκευές.

Σύμφωνα με Επιφυλακήπου ανακάλυψε τις δύο οικογένειες κακόβουλου λογισμικού, το BoneSpy είναι ενεργό από το 2021, ενώ το PlainGnome εμφανίστηκε το 2024. Και τα δύο στοχεύουν ρωσόφωνα άτομα σε πρώην σοβιετικά κράτη.

Το Gamaredon (γνωστός και ως “Shuckworm”) πιστεύεται ότι είναι μέρος της Ομοσπονδιακής Υπηρεσίας Ασφαλείας της Ρωσίας (FSB) και οι επιχειρήσεις του συνδέονται στενά με τα εθνικά γεωπολιτικά συμφέροντα της χώρας.

Αν και η ομάδα απειλών έχει χρησιμοποιήσει διάφορα εργαλεία κακόβουλου λογισμικού, το BoneSpy και το PlainGnome είναι οι πρώτες τεκμηριωμένες περιπτώσεις κακόβουλου λογισμικού Gamaredon που στοχεύει κινητές συσκευές, ειδικά το Android.

Από ανοιχτού κώδικα έως προσαρμοσμένο κακόβουλο λογισμικό

Το BoneSpy, που συνήθως παραδίδεται μέσω τρωανοποιημένων εφαρμογών Telegram ή πλαστοπροσωπίας της Samsung Knox, βασίστηκε στον ανοιχτό κώδικα.DroidWatcherΕφαρμογή επιτήρησης, η οποία χρονολογείται από το 2013.

Η Lookout λέει ότι οι εργασίες ανάπτυξης στο BoneSpy κορυφώθηκαν μεταξύ Ιανουαρίου και Οκτωβρίου 2022, σταθεροποιώντας τις ακόλουθες δυνατότητες:

• Συλλέγει μηνύματα SMS, συμπεριλαμβανομένου του αποστολέα, του περιεχομένου και των χρονικών σφραγίδων
• Καταγράφει ήχο περιβάλλοντος και συνομιλίες τηλεφωνικών κλήσεων
• Καταγράφει GPS και δεδομένα τοποθεσίας που βασίζονται σε κινητά
• Τραβάει φωτογραφίες χρησιμοποιώντας την κάμερα και καταγράφει στιγμιότυπα οθόνης της συσκευής
• Έχει πρόσβαση στο ιστορικό περιήγησης του χρήστη
• Εξάγει ονόματα, αριθμούς, email και λεπτομέρειες κλήσεων από τη λίστα επαφών και τα αρχεία καταγραφής κλήσεων
• Πρόσβαση στο περιεχόμενο του προχείρου
• Διαβάζει ειδοποιήσεις συσκευής

Το PlainGnome είναι ένα νεότερο, προσαρμοσμένο κακόβουλο λογισμικό παρακολούθησης Android που δεν χρησιμοποιεί τη βάση κώδικα ενός προηγουμένως γνωστού έργου. Το Lookout παρατήρησε σημαντική εξέλιξη στον κώδικά του από τον Ιανουάριο έως τον Οκτώβριο του τρέχοντος έτους, υποδεικνύοντας ενεργή ανάπτυξη.

Το νέο κακόβουλο λογισμικό χρησιμοποιεί μια διαδικασία εγκατάστασης δύο σταδίων που χωρίζει το dropper και το ωφέλιμο φορτίο, γεγονός που το καθιστά πιο κρυφό και πιο ευέλικτο.

Το PlainGnome διαθέτει όλες τις δυνατότητες συλλογής δεδομένων του BoneSpy, αλλά ενσωματώνει επίσης προηγμένες λειτουργίες όπως το Jetpack WorkManager για την εξαγωγή δεδομένων μόνο όταν η συσκευή είναι σε αδράνεια, μειώνοντας τους κινδύνους εντοπισμού.

Το κακόβουλο λογισμικό υποστηρίζει μια λειτουργία εγγραφής που ενεργοποιείται μόνο όταν η συσκευή είναι σε αδράνεια και η οθόνη είναι απενεργοποιημένη για να αποφευχθεί η ανατροπή των θυμάτων μέσω ενδείξεων ενεργοποίησης μικροφώνου ότι κατασκοπεύονται.

Παρά την αυξημένη πολυπλοκότητα στις λειτουργίες επιτήρησης, το Lookout σημειώνει ότι το λογισμικό κατασκοπείας δεν διαθέτει επί του παρόντος καμία μορφή συσκότισης κώδικα, επομένως η ανάλυση αποκάλυψε γρήγορα την πραγματική του φύση.

Κατά την εκκίνηση, ζητά την έγκριση επικίνδυνων αδειών όπως πρόσβαση σε SMS, επαφές, αρχεία καταγραφής κλήσεων και κάμερες. Ωστόσο, δεδομένης της κάλυψης της ως εφαρμογής επικοινωνίας, τα θύματα ενδέχεται να εξαπατηθούν ώστε να εγκρίνουν το αίτημα.

Το Lookout σημειώνει ότι ούτε το BoneSpy ούτε το PlainGnome βρέθηκαν ποτέ στο Google Play, επομένως πιθανότατα λαμβάνονται από ιστότοπους στους οποίους απευθύνονται τα θύματα ακολουθώντας την κοινωνική μηχανική. Αυτή η προσέγγιση ταιριάζει με το στενό εύρος στόχευσης του Gamaredon.

Η έκθεση του ερευνητή υπογραμμίζει την αυξανόμενη εστίαση της Gamaredon στις συσκευές Android, παρουσιάζοντας τις εξελισσόμενες τακτικές της ομάδας για επέκταση των δυνατοτήτων επιτήρησής της σε κινητές συσκευές, οι οποίες χρησιμοποιούνται όλο και περισσότερο σε όλες τις πτυχές της ζωής μας και τις καθιστούν πολύτιμους στόχους.