Gamaredon implementeert Android-spyware “BoneSpy” en “PlainGnome” in voormalige Sovjetstaten

De aan Rusland gelieerde, door de staat gesponsorde dreigingsacteur die wordt gevolgd als Gamaredon, is toegeschreven aan twee nieuwe Android-spywaretools genaamd BoneSpy En GewoonGnoomwat de eerste keer is dat de tegenstander wordt ontdekt met behulp van alleen mobiele malwarefamilies in zijn aanvalscampagnes.

“BoneSpy en PlainGnome richten zich op voormalige Sovjetstaten en richten zich op Russischsprekende slachtoffers”, aldus Lookout in een analyse. “Zowel BoneSpy als PlainGnome verzamelen gegevens zoals sms-berichten, oproeplogboeken, audio van telefoongesprekken, foto’s van apparaatcamera’s, apparaatlocatie en contactlijsten.”

Gamaredon, ook wel Aqua Blizzard, Armageddon, BlueAlpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 en Winterflounder genoemd, is een hackgroep die is aangesloten bij de Russische Federale Veiligheidsdienst (FSB).

Vorige week onthulde de Insikt Group van Recorded Future het gebruik van Cloudflare Tunnels door de bedreigingsacteur als een tactiek om zijn staging-infrastructuur te verbergen die kwaadaardige ladingen zoals GammaDrop host.

Er wordt aangenomen dat BoneSpy al sinds 2021 operationeel is. Aan de andere kant verscheen PlainGnome pas eerder dit jaar. Doelstellingen van de campagne zijn mogelijk Oezbekistan, Kazachstan, Tadzjikistan en Kirgizië, gebaseerd op de inzendingen van VirusTotal van de artefacten. Er is in dit stadium geen bewijs dat de malware werd gebruikt om Oekraïne aan te vallen, wat de enige focus van de groep was.

In september 2024 maakte ESET ook bekend dat Gamaredon tevergeefs probeerde te infiltreren in doelen in verschillende NAVO-landen, namelijk Bulgarije, Letland, Litouwen en Polen in april 2022 en februari 2023.

Android-spyware

Lookout heeft getheoretiseerd dat de aanvallen op Oezbekistan, Kazachstan, Tadzjikistan en Kirgizië “mogelijk verband houden met de verslechterende betrekkingen tussen deze landen en Rusland sinds het uitbreken van de invasie in Oekraïne”.

De toeschrijving van de nieuwe malware aan Gamaredon komt voort uit de afhankelijkheid van dynamische DNS-providers en overlappingen in IP-adressen die verwijzen naar command-and-control (C2)-domeinen die worden gebruikt in zowel mobiele als desktopcampagnes.

BoneSpy en PlainGnome delen een cruciaal verschil in die zin dat de eerste, afgeleid van de open-source DroidWatcher-spyware, een op zichzelf staande applicatie is, terwijl de laatste fungeert als een dropper voor een daarin ingebedde surveillance-payload. PlainGnome is ook een op maat gemaakte malware, maar vereist dat het slachtoffer toestemming geeft om andere apps te installeren via REQUEST_INSTALL_PACKAGES.

Beide bewakingstools implementeren een breed scala aan functies om de locatie te volgen, informatie te verzamelen over het geïnfecteerde apparaat en sms-berichten, oproeplogboeken, contactlijsten, browsergeschiedenis, audio-opnamen, omgevingsgeluid, meldingen, foto’s, schermafbeeldingen en mobiele serviceprovider te verzamelen details. Ze proberen ook root-toegang te verkrijgen.

Het exacte mechanisme waarmee de door malware verspreide apps worden verspreid blijft onduidelijk, maar er wordt vermoed dat er sprake is van gerichte social engineering, die zich voordoet als apps voor het monitoren van de batterijlading, apps voor fotogalerijen, een nep-app van Samsung Knox en een volledig functionele, maar met trojans beveiligde app. Telegram-app.

“Hoewel PlainGnome, dat dit jaar voor het eerst opdook, qua functionaliteit veel overlapt met BoneSpy, lijkt het niet te zijn ontwikkeld op basis van dezelfde codebasis”, aldus Lookout.

Thijs Van der Does