揭露俄罗斯APT新手段：Gamaredon首次使用安卓间谍软件骨骼间谍（BoneSpy）和伪装侦察（PlainGnome）

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

“移动设备成为黑客攻击的新战场，前苏联国家的目标机构正面临前所未有的威胁！”  

近期，网络安全研究公司 Lookout 公布了一项重大发现：俄罗斯高级持续性威胁（APT）组织Gamaredon（又称Armageddon、Primitive Bear 和 ACTINIUM）首次使用安卓间谍软件攻击目标。这些恶意软件家族被命名为 BoneSpy（骨骼间谍） 和 PlainGnome（伪装侦察），专门针对前苏联国家的俄语受害者展开间谍活动。

 🔍 背景揭秘：Gamaredon的攻击历史  

Gamaredon 是一个臭名昭著的俄罗斯网络间谍组织，自 2014 年以来持续针对乌克兰和与乌克兰相关的机构发动鱼叉式网络钓鱼攻击。这次的发现则是他们首次在安卓平台上活跃，为传统的桌面间谍活动增加了新的攻击手段。

 🛠️ 骨骼间谍与伪装侦察的功能解读  

1. 骨骼间谍（BoneSpy）  

骨骼间谍自 2021 年起被使用，主要以独立应用程序形式部署。  

功能强大：能够窃取短信、通话记录、设备位置、联系人列表，并能远程激活设备摄像头拍摄照片。  

2. 伪装侦察（PlainGnome）  

于 2024 年首次出现，以双阶段部署为特色：  

  第一阶段：伪装成目录或电池监测应用，请求安装权限后安装第二阶段恶意 APK。  

  第二阶段：伪装为图库应用，完成数据监控和窃取任务。  

技术创新：使用 Jetpack WorkManager，在设备闲置时高效提取数据，并通过动态 DNS 服务传输至远程服务器。

共同点与区别  

共同点：两者都针对俄语受害者，重点锁定前苏联国家如乌兹别克斯坦、哈萨克斯坦等。两款恶意软件的基础设施和命名模式与 Gamaredon 的桌面攻击活动高度一致。  

区别：BoneSpy 基于开源应用 DroidWatcher，而 PlainGnome 则采用独立开发代码。  

 🎯 攻击目标与影响  

目标人群：政府机构、教育机构、人权组织等。  

区域：主要集中在中亚（如哈萨克斯坦、乌兹别克斯坦）以及与俄罗斯关系紧张的其他前苏联国家。  

恶意传播：通过社交工程手段伪装成电池监测应用、照片图库、伪造的三星 Knox 应用，甚至是经过篡改的 Telegram 应用分发。  

 📉 安全专家警示：威胁与防护  

Gamaredon 的这些安卓间谍工具反映了俄罗斯黑客在网络战中的技术升级。从传统的鱼叉式钓鱼攻击到移动设备的深度监控，他们正通过多平台攻击手段扩大影响力。  

如何保护自己？  

1. 避免点击陌生链接：尤其是通过短信或电子邮件发送的应用安装包。  

2. 安装正规来源的应用：避免从第三方网站下载未经验证的 APK 文件。  

3. 启用设备安全措施：如使用强密码、启用设备加密及实时监控应用行为的安全软件。  

4. 及时更新设备系统：修补已知漏洞，减少被攻击的可能性。  

 📢 总结：移动安全形势迫在眉睫！  

Gamaredon 的这一新动向不仅警示前苏联国家，也提醒全球用户：移动设备正成为网络战的新目标。在这样复杂的网络威胁下，只有保持警惕、加强防护，才能有效抵御这些隐秘且致命的攻击。  

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：揭露俄罗斯APT新手段：Gamaredon首次使用安卓间谍软件骨骼间谍（BoneSpy）和伪装侦察（PlainGnome）