俄罗斯APT组织Gamaredon首次涉足移动恶意软件！

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，网络安全公司Lookout揭露了与俄罗斯APT组织Gamaredon（又称Armageddon、Primitive Bear、ACTINIUM）有关的首批移动恶意软件家族。这两款恶意软件被命名为BoneSpy和PlainGnome，并针对前苏联国家展开了广泛的间谍活动。

📱 Gamaredon的新武器：BoneSpy与PlainGnome

#BoneSpy：早有布局的间谍软件

首次出现时间：至少自2021年以来活跃  

主要功能：采集短信、通话记录、通话音频、设备摄像头照片、设备位置及联系人信息  

部署方式：作为独立应用程序运行  

#PlainGnome：2024年新型间谍工具

首次出现时间：2024年  

部署方式：两阶段机制  

  1. 第一阶段伪装成目录应用，安装第二阶段APK。  

  2. 第二阶段伪装为图片库应用，执行全面监控功能。  

新增技术：使用Jetpack WorkManager高效上传数据，在设备空闲时启动数据外泄功能。

这两款恶意软件不仅功能强大，还针对目标用户的语言和行为习惯进行定制化优化。

🎯 攻击目标：俄语圈及前苏联国家  

攻击地区：主要集中在乌兹别克斯坦、哈萨克斯坦等前苏联国家。  

目标人群：俄罗斯语用户、与乌克兰事务相关的机构和个人。  

自2014年以来，Gamaredon始终活跃于针对乌克兰的网络间谍活动，而此次移动端间谍工具的出现，标志着其战术的进一步升级。

🔗 验证关联：Gamaredon的数字指纹  

Lookout通过以下技术细节将这两款恶意软件与Gamaredon直接关联：  

基础设施共享：BoneSpy和PlainGnome的IP地址、域名命名方式均与Gamaredon的历史活动相符。  

动态DNS服务：自2017年以来，Gamaredon频繁使用ddns[.]net等动态DNS服务，这一模式也出现在新发现的恶意软件中。  

技术遗产：BoneSpy基于开源监控工具DroidWatcher开发，而PlainGnome则展示了类似的设计风格和C2通信特性。  

这些证据表明，这两款移动恶意软件是Gamaredon针对桌面和移动端的间谍活动的一部分。

🚨 如何防范？

尽管目前传播机制尚不明确，但研究人员推测，社交工程攻击可能是主要手段。恶意软件通常伪装成：  

电池管理应用  

照片图库应用  

伪装的Samsung Knox应用  

甚至是功能完整但已被植入木马的Telegram应用  

📢 提醒与建议  

1. 谨慎下载应用：尤其是通过非官方来源的APK文件。  

2. 强化设备权限管理：避免随意授予高风险权限。  

3. 安装安全工具：定期扫描和监控设备是否存在恶意软件。  

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：俄罗斯APT组织Gamaredon首次涉足移动恶意软件！