Pesquisadores da Lookout identificaram as primeiras famílias de malware móvel associadas ao grupo russo Gamaredon (também conhecido como Armageddon, Primitive Bear e ACTINIUM). As ameaças, denominadas BoneSpy e PlainGnome, têm sido usadas para espionagem cibernética em antigos estados soviéticos, como Uzbequistão e Cazaquistão.
Esses dois malwares foram projetados para coletar informações confidenciais, como mensagens SMS, registros de chamadas, áudio de conversas, localização do dispositivo, fotos capturadas pela câmera e listas de contatos. Segundo os especialistas, essas ferramentas têm sido empregadas para monitorar vítimas de língua russa desde 2021 (no caso do BoneSpy) e mais recentemente em 2024 (no caso do PlainGnome).
Alvos e Contexto
Os ataques são direcionados principalmente a estados pós-soviéticos, refletindo as tensões crescentes desde a invasão russa à Ucrânia em 2014. Enquanto os pesquisadores detectaram potencial interesse em alvos empresariais em 2022, ainda não há evidências concretas de vítimas ucranianas.
Detalhes Técnicos do Malware
O BoneSpy opera como um aplicativo independente e parece derivado do software de vigilância de código aberto DroidWatcher, amplamente usado por criminosos para espionagem. Por outro lado, o PlainGnome adota uma abordagem de dois estágios:
- O primeiro estágio se disfarça como um aplicativo de catálogo e solicita permissões para instalar pacotes adicionais.
- O segundo estágio, apresentado como uma galeria de imagens, executa as funções de espionagem e manipula 38 permissões diferentes para coletar dados.
Notícias Relacionadas
Segurança cibernética
Bots Python exploram servidores php em campanha de jogos de azar
Ataques de bots baseados em Python têm como alvo servidores PHP para impulsionar plataformas de jogos de azar na Indonésia. GSocket e redirecionamentos para sites de apostas estão entre os vetores usados.
Guia completo sobre 1win bet. Como aproveitar a 1win plataforma
A 1win é uma plataforma de apostas online que se destaca pela sua ampla oferta de jogos e apostas esportivas. Ela oferece uma experiência completa tanto para apostadores iniciantes quanto para veteranos, com uma interface fácil de usar e opções diversificadas de apostas. A 1win bet é uma das seções mais populares da plataforma, onde […]
Ambos os malwares se aproveitam de engenharia social, disfarçando-se como aplicativos úteis, incluindo monitores de bateria, galerias de fotos, uma versão falsa do Samsung Knox e até um app do Telegram trojanizado.
Conexão com o Gamaredon
A ligação entre BoneSpy, PlainGnome e o grupo Gamaredon foi estabelecida por meio de convenções de nomes de domínio, IPs compartilhados e uso de serviços DNS dinâmicos. Essa infraestrutura já era característica das operações do Gamaredon desde 2017, reforçando o vínculo com essas campanhas de vigilância.
O relatório da Lookout também destaca que o PlainGnome evoluiu significativamente em 2024, incorporando o Jetpack WorkManager, uma ferramenta que otimiza a exfiltração de dados em momentos ociosos do dispositivo. No entanto, os pesquisadores notaram que o malware não utiliza técnicas avançadas de ofuscação, indicando que seus operadores dependem de defesas mínimas contra análises de especialistas.
Conclusão
O surgimento de BoneSpy e PlainGnome marca a primeira evidência de malwares móveis atribuídos ao Gamaredon, expandindo as capacidades do grupo em operações de ciberespionagem. Embora o mecanismo exato de distribuição ainda seja desconhecido, a sofisticação desses malwares reflete o avanço contínuo das ameaças cibernéticas no cenário global.
Essas descobertas reforçam a importância de medidas rigorosas de segurança digital, especialmente em regiões que enfrentam tensões políticas e conflitos geopolíticos.
