Rus siber casusu Gamaredon’un, mobil cihazlarda casusluk yapmak ve verileri çalmak için ‘BoneSpy’ ve ‘PlainGnome’ adlı iki Android casus yazılım ailesini kullandığı keşfedildi.
İki kötü amaçlı yazılım ailesini keşfeden Lookout’a göre BoneSpy 2021’den beri aktif, PlainGnome ise 2024’te ortaya çıktı. Her ikisi de eski Sovyet devletlerinde Rusça konuşan bireyleri hedef alıyor.
Gamaredon’un (diğer adıyla “Shuckworm”) Rusya Federal Güvenlik Ajansı’nın (FSB) bir parçası olduğuna inanılıyor ve operasyonları ülkenin ulusal jeopolitik çıkarlarıyla yakından bağlantılı.
Tehdit grubu çeşitli kötü amaçlı yazılım araçları kullanmış olsa da BoneSpy ve PlainGnome, mobil cihazları, özellikle de Android’i hedef alan ilk belgelenen Gamaredon kötü amaçlı yazılım vakalarıdır.
Açık kaynaktan özel kötü amaçlı yazılımlara
Genellikle truva atı haline getirilmiş Telegram uygulamaları aracılığıyla veya Samsung Knox’un kimliğine bürünülerek sunulan BoneSpy, geçmişi 2013 yılına kadar uzanan açık kaynaklı ‘DroidWatcher’ gözetleme uygulamasını temel alıyordu.
Kaynak: BleepingComputer
Lookout, BoneSpy üzerindeki geliştirme çalışmalarının Ocak ve Ekim 2022 arasında zirveye ulaştığını ve aşağıdaki yeteneklerde istikrar sağlandığını söylüyor:
- Gönderen, içerik ve zaman damgaları dahil olmak üzere SMS mesajlarını toplar
- Ortam sesini ve telefon görüşmesi konuşmalarını kaydeder
- GPS ve hücre tabanlı konum verilerini yakalar
- Kamerayı kullanarak fotoğraf çeker ve cihazın ekran görüntülerini yakalar
- Kullanıcının web tarama geçmişine erişir
- Kişi listesinden ve çağrı kayıtlarından isimleri, numaraları, e-postaları ve çağrı ayrıntılarını çıkarır
- Pano içeriğine erişir
- Cihaz bildirimlerini okur
PlainGnome, önceden bilinen bir projenin kod tabanını kullanmayan, daha yeni, özel bir Android gözetleme kötü amaçlı yazılımıdır. Lookout, bu yılın Ocak ayından Ekim ayına kadar kodunda aktif bir gelişme olduğunu gösteren önemli bir gelişme gözlemledi.
Yeni kötü amaçlı yazılım, damlalık ve yükü ayıran iki aşamalı bir kurulum süreci kullanıyor ve bu da onu daha gizli ve çok yönlü hale getiriyor.
PlainGnome, BoneSpy’ın tüm veri toplama yeteneklerini içerir ancak aynı zamanda Jetpack WorkManager gibi gelişmiş özellikleri de entegre ederek verileri yalnızca cihaz boştayken dışarı çıkarır ve tespit risklerini azaltır.
Kötü amaçlı yazılım, kurbanların gözetlendiklerine dair mikrofon etkinleştirme göstergeleri aracılığıyla bilgilendirilmelerini önlemek için yalnızca cihaz boştayken ve ekran kapalıyken etkinleşen bir kayıt modunu destekler.
Gözetleme operasyonlarındaki artan karmaşıklığa rağmen Lookout, casus yazılımın şu anda herhangi bir kod gizleme özelliği içermediğini, dolayısıyla analizin onun gerçek doğasını hızla ortaya çıkardığını belirtiyor.
Başlatıldığında SMS’e, kişilere, çağrı kayıtlarına ve kameralara erişim gibi tehlikeli izinlerin onayını ister. Ancak bir iletişim uygulaması olarak maskelenmesi göz önüne alındığında, mağdurlar kandırılarak isteği onaylamaları sağlanabilir.
Lookout, Google Play’de ne BoneSpy’ın ne de PlainGnome’un bulunmadığını, dolayısıyla bunların büyük olasılıkla kurbanların aşağıdaki sosyal mühendisliğe yönlendirildiği web sitelerinden indirildiğini belirtiyor. Bu yaklaşım Gamaredon’un dar hedefleme kapsamına uygundur.
Araştırmacının raporu, Gamaredon’un Android cihazlara giderek daha fazla odaklandığını vurguluyor ve grubun gözetim yeteneklerini hayatımızın her alanında giderek daha fazla kullanılan ve onları değerli hedefler haline getiren mobil cihazlara genişletmeye yönelik gelişen taktiklerini sergiliyor.