Los investigadores de seguridad de Lookout descubrieron recientemente al grupo ruso Gamaredon. utilizando dos familias de software espía de Android, BoneSpy y PlainGnome, con fines de espionaje y robo de datos. Estas son las primeras familias conocidas de malware móvil vinculadas al grupo de ciberespionaje ruso.
Usuarios de Android atacados por dos nuevos programas de software espía
Según se informa, los actores de amenazas colocaron BoneSpy utilizando aplicaciones con troyanos que se hacían pasar por aplicaciones de monitoreo de carga de batería, aplicaciones de galería de fotos, una aplicación Samsung Knox y aplicaciones de Telegram. Según se informa, Gamaredon comenzó a utilizar muestras de Telegram con troyanos completamente funcionales denominadas versiones «Beta». En el informe publicado, Lookout señala que el desarrollo del malware BoneSpy aumentó entre enero y octubre de 2022 con múltiples capacidades.
Estos incluyen recopilar detalles de SMS y grabar audio ambiental y llamadas telefónicas. Además, el Androide El software espía captura datos de ubicación, capturas de pantalla e imágenes basados en llamadas y GPS. BoneSpy también está vinculado al acceso al historial web y a la extracción de nombres, números, correos electrónicos y detalles de llamadas exactos.
Por otro lado, PlainGnome es un nuevo software espía de vigilancia para Android creado por Gamaredon Group. No utiliza el código base de un proyecto previamente conocido. Según el informe, el código de PlainGnome evolucionó significativamente de enero a octubre de este año. Esto sugiere que los ciberespías rusos están trabajando activamente en ello.
El nuevo software espía de Android utiliza un proceso de instalación de dos etapas separando el cuentagotas y la carga útil. Además de capacidades de recopilación de datos como BoneSpy, PlainGnome incluye funciones avanzadas como Jetpack WorkManager. Esto permite que el software espía filtre datos cuando el dispositivo está inactivo, lo que reduce las posibilidades de detección incluso por parte de los usuarios. tecnología-usuarios expertos.
No hay evidencia de que haya aplicaciones infectadas con software espía en Google Play Store
En particular, no hay evidencia de que estas familias de malware estén presentes en GooglePlay. Por lo tanto, es seguro asumir que las víctimas a menudo descargaban aplicaciones que contenían software espía de sitios web de terceros. Los investigadores de Lookout también señalan que Gamaredon está evolucionando sus tácticas para expandir sus capacidades de vigilancia a dispositivos Android.
Vale la pena señalar que Gamaredon utilizó software espía de Android en ataques contra víctimas de habla rusa en antiguos estados soviéticos como Uzbekistán y Kazajstán. Sin embargo, el informe no confirma si el software espía estaba dirigido a ciudadanos ucranianos.
Fuente: Android Headlines