我们发现了两个新的Android监控工具BoneSpy和PlainGnome,它们被归属于与俄罗斯联邦安全局(FSB)有关的俄罗斯APT组织Gamaredon(也称为Primitive Bear或Shuckworm)。这两个监控家族自2021年以来一直在活跃,主要针对前苏联国家和讲俄语的受害者。BoneSpy基于俄罗斯开发的开源DroidWatcher监控软件,而PlainGnome虽然功能与BoneSpy相似,但似乎并非基于同一代码库开发。我们的研究人员通过IP地址和域名命名习惯等基础设施连接,以及针对讲俄语群体的前苏联国家的目标定位,得出这两个监控工具由Gamaredon操作的结论。BoneSpy和PlainGnome都具备广泛的监控能力,包括尝试获取设备root权限、反分析检查、位置跟踪、获取设备信息和敏感用户数据等。我们的分析显示,这些工具主要通过社交工程方式传播,并未在Google Play商店上架。
原文链接:
http://rpfiles.threatexpert.cn:8100/Gamaredon%20Group/reports/2024-12-11-Gamaredon%20%E5%9C%A8%E5%89%8D%E8%8B%8F%E8%81%94%E5%9B%BD%E5%AE%B6%E9%83%A8%E7%BD%B2%20Android%20%E9%97%B4%E8%B0%8D%E8%BD%AF%E4%BB%B6.pdf
原文始发于微信公众号(狼蛛安全实验室):俄罗斯Gamaredon APT组织利用BoneSpy和PlainGnome监控前苏联国家讲俄语人群
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论