In un'epoca in cui la sicurezza digitale è più critica che mai, il gruppo di hacker noto come Gamaredon sta facendo notizia con l'introduzione di nuovi strumenti spyware per dispositivi Android, denominati "BoneSpy" e "PlainGnome". Questo segna una nuova fase nell'attività del gruppo, che finora non era stato osservato nell'utilizzo esclusivo di malware per dispositivi mobili nelle sue campagne di attacco.

Questi strumenti spyware sono stati progettati per colpire principalmente gli stati dell'ex Unione Sovietica, con un'attenzione particolare per le vittime di lingua russa. Secondo un'analisi condotta da Lookout, sia BoneSpy che PlainGnome sono in grado di raccogliere una vasta gamma di dati, tra cui messaggi SMS, registri delle chiamate, audio delle chiamate, foto dalle fotocamere dei dispositivi, posizione del dispositivo e liste di contatti.

Gamaredon, affiliato al Servizio di Sicurezza Federale russo (FSB), è stato precedentemente noto per l'uso di diverse tattiche di attacco, ma l'impiego di spyware esclusivamente mobile rappresenta una nuova evoluzione nella loro strategia. Di recente, il gruppo è stato accusato di utilizzare Cloudflare Tunnels per oscurare la propria infrastruttura di staging che ospita payload malevoli come GammaDrop.

L'attività di BoneSpy è stata tracciata almeno dal 2021, mentre PlainGnome è emerso più recentemente, nel corso di quest'anno. Gli obiettivi potenziali delle loro campagne includono paesi come Uzbekistan, Kazakistan, Tagikistan e Kirghizistan. Nonostante la mancanza di evidenze che dimostrino attacchi diretti contro l'Ucraina, il gruppo continua a essere monitorato per eventuali minacce future.

Una caratteristica distintiva tra BoneSpy e PlainGnome è che il primo è un'applicazione standalone derivata dallo spyware open-source Droid-Watcher, mentre il secondo funge da dropper per un payload di sorveglianza integrato. PlainGnome richiede alle vittime di concedere permessi per installare altre applicazioni, utilizzando la richiesta REQUEST_INSTALL_PACKAGES.

Entrambi gli strumenti di sorveglianza offrono funzionalità avanzate per il monitoraggio della posizione, la raccolta di informazioni sul dispositivo infetto e la cattura di dati sensibili come messaggi, registri delle chiamate e persino audio ambientale. Il metodo esatto di distribuzione delle app infette rimane poco chiaro, ma si suppone che venga realizzato attraverso tecniche di ingegneria sociale mirata, mascherandosi come app di monitoraggio della carica della batteria, gallerie fotografiche o persino una falsa app Samsung Knox.

Questa nuova ondata di spyware rappresenta una minaccia significativa per la sicurezza mobile, sottolineando la necessità di rimanere vigili e di adottare misure preventive per proteggere i dati personali e la privacy.