Gamaredon 在中亚多国部署 Android 间谍软件BoneSpy和PlainGnome

与俄罗斯有关联的APT组织 Gamaredon 被发现使用了两款名为BoneSpy和PlainGnome的新型 Android 间谍软件工具，这是首次发现该组织在攻击活动中使用仅适用于移动设备的恶意软件。

Lookout 在分析中表示： “BoneSpy 和 PlainGnome 针对的是前苏联国家，主要针对俄语受害者。BoneSpy和 PlainGnome 都收集短信、通话记录、电话音频、设备摄像头拍摄的照片、设备位置和联系人列表等数据。”

Gamaredon，也称为 Aqua Blizzard、Armageddon、BlueAlpha、Hive0051、Iron Tilden、Primitive Bear、Shuckworm、Trident Ursa、UAC-0010、UNC530 和 Winterflounder，是一个隶属于俄罗斯联邦安全局 (FSB) 的黑客组织。

上周，Recorded Future 的 Insikt Group发布报告，威胁组织使用 Cloudflare Tunnels 作为一种策略来隐藏其托管恶意负载（例如 GammaDrop）的临时基础设施。

据信，BoneSpy 至少从 2021 年开始运营。另一方面，PlainGnome 在今年早些时候才出现。根据 VirusTotal 提交的工件，该活动的目标可能包括乌兹别克斯坦、哈萨克斯坦、塔吉克斯坦和吉尔吉斯斯坦。

目前没有证据表明该恶意软件被用于针对乌克兰，而乌克兰一直是该组织的唯一目标。

早在 2024 年 9 月，ESET 还披露，Gamaredon 曾于 2022 年 4 月和 2023 年 2 月试图渗透保加利亚、拉脱维亚、立陶宛和波兰等几个北约国家的目标，但未成功。

将新的恶意软件归因于 Gamaredon 是因为其依赖动态 DNS 提供商，并且 IP 地址重叠，指向移动和桌面活动中使用的命令和控制 (C2) 域。

BoneSpy 和 PlainGnome 有一个关键的区别，前者源自开源间谍软件DroidWatcher ，是一个独立的应用程序，而后者则充当嵌入其中的监视有效载荷的投放器。PlainGnome 也是一种定制的恶意软件，但需要受害者通过REQUEST_INSTALL_PACKAGES授予其安装其他应用程序的权限。

这两种监控工具都具有广泛的功能，可以跟踪位置、收集有关受感染设备的信息以及收集短信、通话记录、联系人列表、浏览器历史记录、录音、环境音频、通知、照片、屏幕截图和蜂窝服务提供商详细信息。它们还试图获取 root 访问权限。

这些带有恶意软件的应用程序传播的具体机制尚不清楚，但怀疑涉及有针对性的社会工程学，伪装成电池充电监控应用程序、照片库应用程序、假冒的三星 Knox 应用程序和功能齐全但被木马感染的 Telegram 应用程序。

Lookout 表示：“尽管今年首次亮相的 PlainGnome 在功能上与 BoneSpy 有许多重叠，但它们似乎并不是基于相同的代码库开发出来的。”

技术报告：

https://www.lookout.com/threat-intelligence/article/gamaredon-russian-android-surveillanceware

https://www.recordedfuture.com/research/bluealpha-abuses-cloudflare-tunneling-service

新闻链接：

https://thehackernews.com/2024/12/gamaredon-deploys-android-spyware.html

讲述普通人能听懂的安全故事