Der russische Cyberspion Gamaredon hat zwei Android-Spyware-Familien mit den Namen "BoneSpy" und "PlainGnome" entdeckt, um Daten von Mobilgeräten auszuspionieren und zu stehlen.
According to Lookout, which discovered the two malware families, BoneSpy has been active since 2021, while PlainGnome emerged in 2024. Both target Russian-speaking individuals in former Soviet states.
Gamaredon (aka “Shuckworm”) is believed to be part of Russia’s Federal Security Agency (FSB), and its operations are closely tied to the country’s national geopolitical interests.
Obwohl die Bedrohungsgruppe verschiedene Malware-Tools verwendet hat, sind BoneSpy und PlainGnome die ersten dokumentierten Fälle von Gamaredon-Malware, die auf mobile Geräte, insbesondere Android, abzielt.
Von Open-Source- bis zu kundenspezifischer Malware
BoneSpy, das in der Regel über trojanisierte Telegram-Apps oder als Samsung Knox ausgegeben wird, basiert auf der Open-Source-Überwachungs-App "DroidWatcher", die aus dem Jahr 2013 stammt.
Lookout sagt, dass die Entwicklungsarbeiten an BoneSpy zwischen Januar und Oktober 2022 ihren Höhepunkt erreichten und sich auf die folgenden Fähigkeiten stabilisierten:
- Sammelt SMS-Nachrichten, einschließlich Absender, Inhalt und Zeitstempel
- Zeichnet Umgebungsgeräusche und Telefongespräche auf
- Erfasst GPS- und zellbasierte Standortdaten
- Nimmt Bilder mit der Kamera auf und macht Screenshots vom Gerät
- Zugriff auf den Web-Browsing-Verlauf des Benutzers
- Extrahiert Namen, Nummern, E-Mails und Anrufdetails aus der Kontaktliste und den Anrufprotokollen
- Zugriff auf den Inhalt der Zwischenablage
- Liest Gerätebenachrichtigungen
PlainGnome is a newer, custom Android surveillance malware that does not use the codebase of a previously known project. Lookout observed significant evolution in its code from January to October this year, indicating active development.
Die neue Malware verwendet einen zweistufigen Installationsprozess, bei dem der Dropper und die Nutzlast voneinander getrennt werden, was sie unauffälliger und vielseitiger macht.
PlainGnome verfügt über alle Datenerfassungsfunktionen von BoneSpy, integriert aber auch fortschrittliche Funktionen wie Jetpack WorkManager, um Daten nur dann zu exfiltrieren, wenn das Gerät im Leerlauf ist, was das Entdeckungsrisiko verringert.
The malware supports a recording mode that activates only when the device is idle and the screen is off to avoid tipping off victims through microphone activation indicators that they are being spied on.
Trotz der zunehmenden Raffinesse der Überwachungsoperationen stellt Lookout fest, dass die Spyware derzeit keine Form der Codeverschleierung aufweist, so dass eine Analyse ihre wahre Natur schnell enthüllte.
Beim Start fordert er die Genehmigung gefährlicher Berechtigungen wie den Zugriff auf SMS, Kontakte, Anrufprotokolle und Kameras. Da er sich jedoch als Kommunikations-App tarnt, können die Opfer dazu verleitet werden, die Anfrage zu genehmigen.
Lookout stellt fest, dass weder BoneSpy noch PlainGnome jemals bei Google Play gefunden wurden. Sie werden also höchstwahrscheinlich von Websites heruntergeladen, auf die die Opfer durch Social Engineering geleitet werden. Dieser Ansatz passt zum engen Zielbereich von Gamaredon.
Der Bericht des Forschers hebt Gamaredons zunehmende Konzentration auf Android-Geräte hervor und zeigt die sich entwickelnde Taktik der Gruppe, ihre Überwachungsfähigkeiten auf mobile Geräte auszudehnen, die in allen Aspekten unseres Lebens zunehmend genutzt werden und sie zu wertvollen Zielen machen.
Google has confirmed to BleepingComputer that Google Play Protect automatically protects against known versions of this malware.