Gamaredon olarak takip edilen Rusya bağlantılı devlet destekli tehdit aktörünün, iki yeni Android casus yazılım aracına atfedildiği belirtildi. Kemik Casusu Ve PlainGnomeBu, saldırganın saldırı kampanyalarında yalnızca mobil cihazlara yönelik kötü amaçlı yazılım aileleri kullandığı ilk kez keşfedildiği anlamına geliyor.
Lookout bir analizde “BoneSpy ve PlainGnome eski Sovyet devletlerini hedef alıyor ve Rusça konuşan kurbanlara odaklanıyor” dedi. “Hem BoneSpy hem de PlainGnome, SMS mesajları, arama kayıtları, telefon görüşmesi sesleri, cihaz kameralarından fotoğraflar, cihaz konumu ve kişi listeleri gibi verileri toplar.”
Aqua Blizzard, Armageddon, BlueAlpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 ve Winterflounder olarak da adlandırılan Gamaredon, Rusya Federal Güvenlik Servisi’ne (FSB) bağlı bir bilgisayar korsanlığı grubudur.
Geçtiğimiz hafta Recorded Future’ın Insikt Grubu, tehdit aktörünün GammaDrop gibi kötü amaçlı yükleri barındıran hazırlama altyapısını gizlemek için Cloudflare Tünellerini kullandığını ortaya çıkardı.
BoneSpy’ın en az 2021’den beri faaliyette olduğuna inanılıyor. Öte yandan PlainGnome daha bu yılın başlarında ortaya çıktı. VirusTotal eserlerinin gönderimine göre kampanyanın hedefleri arasında muhtemelen Özbekistan, Kazakistan, Tacikistan ve Kırgızistan yer alıyor. Şu aşamada kötü amaçlı yazılımın, grubun tek odak noktası olan Ukrayna’yı hedef almak için kullanıldığına dair hiçbir kanıt yok.
Eylül 2024’te ESET ayrıca Gamaredon’un Nisan 2022 ve Şubat 2023’te Bulgaristan, Letonya, Litvanya ve Polonya gibi birçok NATO ülkesindeki hedeflere sızma girişiminde başarısız olduğunu açıklamıştı.
Lookout, Özbekistan, Kazakistan, Tacikistan ve Kırgızistan’ın hedef alınmasının “Ukrayna işgalinin başlamasından bu yana bu ülkelerle Rusya arasındaki ilişkilerin kötüleşmesiyle ilişkili olabileceğini” teorileştirdi.
Yeni kötü amaçlı yazılımın Gamaredon’a atfedilmesi, dinamik DNS sağlayıcılarına güvenilmesinden ve hem mobil hem de masaüstü kampanyalarda kullanılan komuta ve kontrol (C2) alanlarına işaret eden IP adreslerindeki çakışmalardan kaynaklanıyor.
BoneSpy ve PlainGnome, açık kaynaklı DroidWatcher casus yazılımından türetilen birincisinin bağımsız bir uygulama olması, ikincisinin ise içine gömülü bir gözetim yükü için bir damlalık görevi görmesi açısından çok önemli bir farkı paylaşıyor. PlainGnome da özel yapım bir kötü amaçlı yazılımdır ancak kurbanın REQUEST_INSTALL_PACKAGES aracılığıyla diğer uygulamaları yüklemesine izin vermesini gerektirir.
Her iki gözetleme aracı da konumu izlemek, virüslü cihaz hakkında bilgi toplamak ve SMS mesajlarını, arama kayıtlarını, kişi listelerini, tarayıcı geçmişini, ses kayıtlarını, ortam sesini, bildirimleri, fotoğrafları, ekran görüntülerini ve hücresel servis sağlayıcısını toplamak için geniş bir işlev yelpazesi uygular. detaylar. Ayrıca root erişimi elde etmeye çalışırlar.
Kötü amaçlı yazılım bulaşmış uygulamaların dağıtıldığı kesin mekanizma belirsizliğini koruyor, ancak kendilerini pil şarjı izleme uygulamaları, fotoğraf galerisi uygulamaları, sahte bir Samsung Knox uygulaması ve tamamen işlevsel ancak truva atı haline getirilmiş bir uygulama olarak gizleyen hedefli sosyal mühendislik içerdiğinden şüpheleniliyor. Telegram uygulaması.
Lookout, “İlk olarak bu yıl ortaya çıkan PlainGnome’un işlevsellik açısından BoneSpy ile pek çok örtüşmesi olmasına rağmen, aynı kod tabanından geliştirilmiş gibi görünmüyor” dedi.