Der russische Cyberspion Gamaredon hat zwei Android-Spyware-Familien mit den Namen "BoneSpy" und "PlainGnome" entdeckt, um Daten von Mobilgeräten auszuspionieren und zu stehlen.
Nach Angaben von Lookout, das die beiden Malware-Familien entdeckt hat, ist BoneSpy seit 2021 aktiv, während PlainGnome im Jahr 2024 auftauchte. Beide zielen auf russischsprachige Personen in den ehemaligen Sowjetstaaten ab.
Es wird vermutet, dass Gamaredon (auch bekannt als "Shuckworm") zum russischen Föderalen Sicherheitsdienst (FSB) gehört und dass seine Operationen eng mit den nationalen geopolitischen Interessen des Landes verbunden sind.
Obwohl die Bedrohungsgruppe verschiedene Malware-Tools verwendet hat, sind BoneSpy und PlainGnome die ersten dokumentierten Fälle von Gamaredon-Malware, die auf mobile Geräte, insbesondere Android, abzielt.
Von Open-Source- bis zu kundenspezifischer Malware
BoneSpy, das in der Regel über trojanisierte Telegram-Apps oder als Samsung Knox ausgegeben wird, basiert auf der Open-Source-Überwachungs-App "DroidWatcher", die aus dem Jahr 2013 stammt.
Sich als Samsung Knox Manager ausgeben
Sich als Samsung Knox Manager ausgeben
Quelle: BleepingComputer
Lookout sagt, dass die Entwicklungsarbeiten an BoneSpy zwischen Januar und Oktober 2022 ihren Höhepunkt erreichten und sich auf die folgenden Fähigkeiten stabilisierten:
Sammelt SMS-Nachrichten, einschließlich Absender, Inhalt und Zeitstempel
Zeichnet Umgebungsgeräusche und Telefongespräche auf
Erfasst GPS- und zellbasierte Standortdaten
Nimmt Bilder mit der Kamera auf und macht Screenshots vom Gerät
Zugriff auf den Web-Browsing-Verlauf des Benutzers
Extrahiert Namen, Nummern, E-Mails und Anrufdetails aus der Kontaktliste und den Anrufprotokollen
Zugriff auf den Inhalt der Zwischenablage
Liest Gerätebenachrichtigungen
PlainGnome ist eine neuere, benutzerdefinierte Android-Überwachungs-Malware, die nicht auf der Codebasis eines bereits bekannten Projekts basiert. Lookout beobachtete von Januar bis Oktober dieses Jahres eine deutliche Weiterentwicklung des Codes, was auf eine aktive Entwicklung hindeutet.
Die neue Malware verwendet einen zweistufigen Installationsprozess, bei dem der Dropper und die Nutzlast voneinander getrennt werden, was sie unauffälliger und vielseitiger macht.
PlainGnome verfügt über alle Datenerfassungsfunktionen von BoneSpy, integriert aber auch fortschrittliche Funktionen wie Jetpack WorkManager, um Daten nur dann zu exfiltrieren, wenn das Gerät im Leerlauf ist, was das Entdeckungsrisiko verringert.
Die Malware unterstützt einen Aufnahmemodus, der nur aktiviert wird, wenn sich das Gerät im Leerlauf befindet und der Bildschirm ausgeschaltet ist, um zu verhindern, dass die Opfer durch Mikrofonaktivierungsanzeigen erkennen, dass sie ausspioniert werden.
Trotz der zunehmenden Raffinesse der Überwachungsoperationen stellt Lookout fest, dass die Spyware derzeit keine Form der Codeverschleierung aufweist, so dass eine Analyse ihre wahre Natur schnell enthüllte.
Beim Start fordert er die Genehmigung gefährlicher Berechtigungen wie den Zugriff auf SMS, Kontakte, Anrufprotokolle und Kameras. Da er sich jedoch als Kommunikations-App tarnt, können die Opfer dazu verleitet werden, die Anfrage zu genehmigen.
Lookout stellt fest, dass weder BoneSpy noch PlainGnome jemals bei Google Play gefunden wurden. Sie werden also höchstwahrscheinlich von Websites heruntergeladen, auf die die Opfer durch Social Engineering geleitet werden. Dieser Ansatz passt zum engen Zielbereich von Gamaredon.
Der Bericht des Forschers hebt Gamaredons zunehmende Konzentration auf Android-Geräte hervor und zeigt die sich entwickelnde Taktik der Gruppe, ihre Überwachungsfähigkeiten auf mobile Geräte auszudehnen, die in allen Aspekten unseres Lebens zunehmend genutzt werden und sie zu wertvollen Zielen machen.
Google hat gegenüber BleepingComputer bestätigt, dass Google Play Protect automatisch vor bekannten Versionen dieser Malware schützt.
