Um grupo de ciberameaça patrocinado pelo estado e vinculado à Rússia, conhecido como Gamaredon, foi associado a duas novas ferramentas de spyware para Android chamadas BoneSpy e PlainGnome.
Esta marca a primeira vez que o adversário foi descoberto usando famílias de malware exclusivas para dispositivos móveis em suas campanhas de ataque.
"BoneSpy e PlainGnome têm como alvo estados ex-soviéticos e focam em vítimas que falam russo," afirmou a Lookout em uma análise.
Ambos o BoneSpy como o PlainGnome coletam dados como mensagens SMS, registros de chamadas, áudio de ligações telefônicas, fotos de câmeras do dispositivo, localização do aparelho e listas de contatos.
O Gamaredon, também chamado de Aqua Blizzard, Armageddon, BlueAlpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 e Winterflounder, é um grupo de hackers afiliado ao Serviço Federal de Segurança (FSB) da Rússia.
Na semana passada, o Grupo Insikt da Recorded Future revelou o uso pelo ator de ameaça de Cloudflare Tunnels como uma tática para ocultar sua infraestrutura de estágio hospedando payloads maliciosos como GammaDrop.
Acredita-se que o BoneSpy esteja operacional desde pelo menos 2021.
Por outro lado, o PlainGnome surgiu apenas no início deste ano.
Os alvos da campanha possivelmente incluem Uzbequistão, Cazaquistão, Tadjiquistão e Quirguistão, com base nas submissões de artefatos ao VirusTotal.
Não há, nesta fase, evidências de que o malware foi usado para mirar na Ucrânia, que tem sido o foco principal do grupo.
Em setembro de 2024, a ESET também divulgou que o Gamaredon tentou sem sucesso infiltrar-se em alvos em vários países da OTAN, nomeadamente Bulgária, Letônia, Lituânia e Polônia em abril de 2022 e fevereiro de 2023.
A Lookout teorizou que o direcionamento ao Uzbequistão, Cazaquistão, Tadjiquistão e Quirguistão "pode estar relacionado à deterioração das relações entre esses países e a Rússia desde o início da invasão da Ucrânia."
A atribuição do novo malware ao Gamaredon decorre da dependência de provedores de DNS dinâmico e sobreposições nos endereços IP que apontam para domínios de comando e controle (C2) usados tanto em campanhas móveis quanto em desktop.
BoneSpy e PlainGnome compartilham uma diferença crucial: o primeiro, derivado do spyware de código aberto Droid-Watcher, é uma aplicação autônoma, enquanto o último atua como um dropper para um payload de vigilância embutido nele.
O PlainGnome também é um malware feito sob medida, mas que exige que a vítima lhe conceda permissão para instalar outros aplicativos por meio do REQUEST_INSTALL_PACKAGES.
Ambas as ferramentas de vigilância implementam uma ampla gama de funções para rastrear a localização, coletar informações sobre o dispositivo infectado, e reunir mensagens SMS, registros de chamadas, listas de contatos, histórico do navegador, gravações de áudio, áudio ambiente, notificações, fotos, capturas de tela e detalhes do provedor de serviço celular.
Elas também tentam obter acesso root.
O mecanismo exato pelo qual os aplicativos contendo o malware são distribuídos permanece incerto, mas suspeita-se que envolva engenharia social direcionada, disfarçando-se como aplicativos de monitoramento de carga de bateria, galeria de fotos, um falso aplicativo Samsung Knox e um aplicativo Telegram totalmente funcional, mas trojanizado.
"Enquanto o PlainGnome, que surgiu este ano, tem muitas sobreposições de funcionalidade com o BoneSpy, não parece ter sido desenvolvido a partir da mesma base de código," disse a Lookout.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...