Lookout 威胁实验室的研究人员发现了两个复杂的安卓间谍软件家族--BoneSpy 和 PlainGnome,它们都归属于与俄罗斯结盟的高级持续威胁 (APT) 组织 Gamaredon。 Gamaredon 也被称为 Primitive Bear 或 Shuckworm,与俄罗斯联邦安全局 (FSB) 有联系,这是他们的移动监控工具的第一个已知实例。 BoneSpy 至少从 2021 年开始运行,PlainGnome 在 2024 年首次被发现,这两个软件都是为广泛的监控功能而设计的。 这些功能包括
- 跟踪 GPS 定位和设备活动;
- 收集敏感数据,如短信、通话记录和浏览器历史记录;
- 使用设备摄像头捕捉环境音频、通话录音和照片;
- 获取 root 访问权限,绕过安全措施。
据 Lookout 的研究人员称,BoneSpy 源自俄罗斯开源的 DroidWatcher 应用程序。 与此相反,PlainGnome 并不共享这一血统,但同样强大。 报告指出:"PlainGnome 共支持 19 种命令,包括收集短信、GPS 定位和环境音频的功能。"虽然 Gamaredon 长期以来一直以乌克兰为目标,但这些新活动似乎将其触角延伸到了前苏联国家,包括乌兹别克斯坦、吉尔吉斯斯坦和塔吉克斯坦。 这种转变可能反映了这些国家与俄罗斯在 2022 年后关系的恶化。 Lookout 的研究人员强调:"BoneSpy 和 PlainGnome 的目标似乎是前苏联的俄语受害者。
值得注意的是,BoneSpy 的样本包括模仿 Telegram 和 Samsung Knox Manage 等合法服务的木马应用程序,这表明它可能以企业为目标。 PlainGnome 体现了 Gamaredon 不断变化的策略。 与 BoneSpy 的独立架构不同,PlainGnome 采用了两阶段部署流程。 初始阶段安装一个最小的应用程序,请求投放恶意有效载荷的权限。 支持这些活动的基础设施利用动态 DNS 提供商,如 No-IP 的 ddns[.]net,这是 Gamaredon 的一贯策略。 据 Lookout 称,Gamaredon 为 BoneSpy 和 PlainGnome 系列使用了相互排斥的 C2 域集,但它们的桌面活动有明显的重叠。
将这些工具归于 Gamaredon 的原因是,这些工具的基础设施与该组织的桌面活动重叠,而且命令与控制(C2)域采用了共同的命名惯例。 间谍软件的开发与俄罗斯实体密切相关,C2 域托管在与克里米亚塞瓦斯托波尔 FSB 行动有关的俄罗斯 ISP 上。 Lookout 的研究人员得出结论:"BoneSpy 和 PlainGnome 都由 Gamaredon 操作",这反映出该组织持续关注前苏联国家的间谍活动。
信息来源:https://securityonline.info/gamaredon-apt-deploys-two-russian-android-spyware-families-bonespy-and-plaingnome/
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局