专家发现了首批与俄罗斯Gamaredon组织相关的移动恶意软件家族

Lookout研究人员将BoneSpy和PlainGnome Android监控软件家族与俄罗斯APT组织Gamaredon（也称为Armageddon、Primitive Bear和ACTINIUM）联系起来。这是首批已知与俄罗斯APT组织相关的移动恶意软件家族。

这个网络间谍组织自2021年10月以来，针对乌克兰实体和与乌克兰事务相关的组织发动了一系列钓鱼攻击。Gamaredon自2014年起就对乌克兰发动网络间谍活动。

威胁者自2021年起使用BoneSpy，而PlainGnome首次出现在2024年。截至目前，Gamaredon仍在使用这两个家族。

BoneSpy和PlainGnome被用于攻击前苏联国家如乌兹别克斯坦和哈萨克斯坦的俄语受害者。攻击者可能因乌克兰入侵后的紧张关系而瞄准前苏联国家。2022年初的证据表明可能存在企业目标，但尚未确认乌克兰受害者。

这两个恶意软件家族可以收集设备上的数据，如短消息、通话记录、电话呼叫音频、设备相机拍摄的照片、设备位置和联系人列表。PlainGnome作为一个 surveillance payload 的 dropper，存储在 dropper 包中，而 BoneSpy 作为独立应用程序部署。

Lookout 将 BoneSpy 和 PlainGnome 连接到 Gamaredon，因为它们共享的 IP 基础设施、域名命名约定和使用动态 DNS 服务，如 ddns.net，这与 Gamaredon 自 2017 年以来使用的技术一致。这些发现将移动监控家庭与 Gamaredon 的桌面campaigns 绑定。

报告中写道：“这些基础设施连接，结合俄罗斯开发和针对俄语群体在前苏联国家的目标，导致我们结论：BoneSpy 和 PlainGnome 都是 Gamaredon 运营的。”

BoneSpy appears to be based on the Russian open-source surveillance app DroidWatcher，而 PlainGnome 不是基于 open-source 代码，但与 BoneSpy 共享相似的主题和 C2 服务器属性。

PlainGnome 使用两阶段部署。轻量级的第一阶段模拟目录应用程序，请求 REQUEST_INSTALL_PACKAGES 权限，然后安装第二阶段 APK。第二阶段，伪装成图像画廊，处理所有监控功能。部署高度使用俄语诱骗和基本模拟器检查。

专家注意到 PlainGnome 的第二阶段 payload 在 2024 年发生了 significant Evolution，引入 Jetpack WorkManager 进行高效数据泄露触发在 idle 状态中。这阶段执行所有监控功能，使用 38 个权限，但缺乏robust obfuscation，依赖于最小分析防御。

恶意软件-laced 应用程序的具体传播机制仍然不清楚，但被怀疑涉及到目标社会工程，伪装自己为电池充电监控应用程序、照片画廊应用程序、假 Samsung Knox 应用程序和完全功能但被 Trojanized 的 Telegram 应用程序。

报告结论：“BoneSpy 和 PlainGnome 都集中在前苏联国家的俄语受害者上。BoneSpy 自 2021 年以来就使用，基于开源 DroidWatcher 监控软件，而 PlainGnome 在今年首次出现，但功能与 BoneSpy 有许多重叠，但似乎没有从同一代码库中开发。”

原文始发于微信公众号（黑猫安全）：专家发现了首批与俄罗斯Gamaredon组织相关的移动恶意软件家族