El grupo de amenazas persistentes avanzadas (APT) ruso Gamaredon habría estado sirviéndose de dos malware de vigilancia para Android, BoneSpy y PlainGnome. Así lo han señalado los investigadores de la firma Lookout.
Los actores de amenazas llevarían usando BoneSpy desde al menos 2021, mientras que PlainGnome ha surgido este año.
Ambas herramientas han servido para atentar contra víctimas de habla rusa en antiguos estados soviéticos como Uzbekistán y Kazajstán.
Gamaredon no es precisamente un grupo de nueva creación. Ha estado lanzado campañas de ciberespionaje desde al menos 2014 contra Ucrania.
El APT, que también es conocido como Armageddon, Primitive Bear y ACTINIUM, ha incrementado su ofensiva contra el país en los últimos años. Desde octubre de 2021 han lanzado una extensa serie de ataques de phishing contra entidades ucranianas y organizaciones relacionadas con el país.
Se cree que la razón de apuntar a antiguos estados soviéticos puede deberse a las tensas relaciones tras la invasión de Ucrania por parte de Rusia, según recoge Security Affairs.
“Sus conexiones de infraestructura, junto con la evidencia del desarrollo ruso y los ataques a grupos de habla rusa en los antiguos estados soviéticos, nos llevan a la conclusión de que tanto BoneSpy como PlainGnome son operados por Gamaredon”, puede leerse en el informe publicado por Lookout.
Los superpoderes de los dos malware
Ambas familias de malware tienen la capacidad de recopilar datos como mensajes SMS, registro de llamadas, audios de llamadas, fotos de las cámaras del dispositivo, ubicación y lista de contacto.
En cuanto a su distribución se sospecha que involucran ingeniería social dirigida, haciéndose pasar por apps de monitorización del estado de carga de la batería, apps de galería de fotos, una app falsa de Samsung Know y otra aplicación de Telegram completamente funcional, pero troyanizada.
“Tanto BoneSpy como PlainGnome se centran en las víctimas de habla rusa en los antiguos estados soviéticos. BoneSpy se utiliza desde al menos 2021 y se basa en el software de vigilancia de código abierto DroidWatcher”, añade.
“Si bien PlainGnome, que apareció por primera vez este año, tiene muchas superposiciones en funcionalidad con BoneSpy, no parece haber sido desarrollado a partir de la misma base de código", concluye la firma.