俄罗斯APT组织Gamaredon首次被发现使用移动恶意软件！

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近年来，随着网络威胁的日益加剧，网络间谍活动不再局限于电脑领域，移动设备也成为了新战场。近日，知名网络安全研究机构Lookout发现了与俄罗斯APT组织Gamaredon（又名Armageddon、Primitive Bear、ACTINIUM）相关的首批移动恶意软件家族——BoneSpy 和 PlainGnome。  

📌 背景：Gamaredon 的间谍之路

Gamaredon自2014年以来，一直对乌克兰以及与乌克兰事务相关的实体发动网络间谍攻击。  

- 自2021年起，Gamaredon便开始部署BoneSpy恶意软件。  

- 2024年，PlainGnome这一全新移动间谍工具浮出水面，标志着Gamaredon将攻击范围扩展至移动设备。

两款恶意软件的主要目标是前苏联国家的俄语受众，如乌兹别克斯坦、哈萨克斯坦等地区，且使用了大量俄语诱饵。  

🛠 恶意软件功能揭秘

1. BoneSpy：老牌间谍工具  

- 基于开源的俄罗斯监控应用DroidWatcher改编。  

- 独立应用形式运行，可执行全面的数据收集任务，包括：  

  - 短信记录、通话记录和音频；  

  - 相机照片、设备位置信息；  

  - 联系人列表。  

2. PlainGnome：更复杂的多阶段恶意软件  

PlainGnome采用了两阶段部署策略：  

- 第一阶段：伪装成“目录应用”，请求安装权限并部署第二阶段负载。  

- 第二阶段：伪装为“图片图库应用”，执行全面的监控任务。  

功能亮点：  

- 使用38种权限，能够在设备空闲时高效窃取数据；  

- 主要通过俄语诱饵传播，目标明确；  

- 模拟合法应用，如“电池监控工具”、“三星Knox假冒应用”以及“伪装的Telegram应用”。  

🔗 关联证据：锁定Gamaredon

研究人员通过以下线索，将BoneSpy和PlainGnome与Gamaredon直接关联：  

1. 基础设施共享：使用了与Gamaredon历史攻击相同的IP地址和动态DNS服务（如ddns[.]net）。  

2. 技术特征一致：域名命名方式、通信协议等细节与Gamaredon过往桌面恶意软件活动高度一致。  

3. 目标群体特征：集中针对俄语受众，并在前苏联国家活跃。

📉 攻击手段：精准而隐蔽的社会工程

尽管这些恶意软件的具体传播方式尚不明确，但研究人员推测，Gamaredon主要依赖定向社交工程攻击：  

- 伪装为常见应用诱骗用户下载安装；  

- 使用看似合法的电池监控或图片管理应用，降低用户警惕。  

🚨 如何保护自己？

面对移动设备日益复杂的威胁，我们可以采取以下措施：  

1. 下载来源可信的应用程序：仅从官方应用商店获取应用，避免第三方来源下载。  

2. 保持设备和应用更新：及时安装安全补丁，修复已知漏洞。  

3. 警惕不明来源链接和附件：尤其是社交软件或邮件中收到的陌生文件。  

4. 安装移动安全防护工具：如知名杀毒软件或防火墙应用，提供实时威胁监测。  

📢 阅读后感：  

随着Gamaredon这样的APT组织将网络间谍活动扩展到移动领域，我们必须更加重视移动设备的安全防护。你的设备是否已做好准备抵御这些隐蔽威胁？欢迎在评论区分享你的看法！  

👉 关注我们，了解更多最新网络安全动态！ 🔒  

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：俄罗斯APT组织Gamaredon首次被发现使用移动恶意软件！