Rosnące zagrożenie cyberataków na urządzenia mobilne stało się faktem, a najnowsze odkrycia w świecie cyberbezpieczeństwa potwierdzają, że zagrożenia te nabierają na sile. Gamaredon, rosyjska grupa hakerska powiązana z federalnymi służbami bezpieczeństwa Rosji (FSB), wprowadziła do swoich działań dwa nowe narzędzia szpiegowskie dla systemu Android – BoneSpy i PlainGnome. To pierwszy raz, gdy grupa ta została wykryta przy użyciu wyłącznie złośliwego oprogramowania mobilnego, co wskazuje na nowy kierunek ich ataków.
BoneSpy i PlainGnome są ukierunkowane na kraje byłego Związku Radzieckiego oraz rosyjskojęzycznych użytkowników. Według analizy przeprowadzonej przez specjalistów, oba programy mają na celu gromadzenie danych takich jak wiadomości SMS, rejestry połączeń, nagrania rozmów telefonicznych, zdjęcia z aparatów użytkowników, lokalizacja urządzenia oraz listy kontaktów. Wykorzystanie tego rodzaju zaawansowanego oprogramowania szpiegowskiego może stanowić poważne zagrożenie dla prywatności i bezpieczeństwa użytkowników, szczególnie w regionach o podwyższonym napięciu politycznym.
Gamaredon, znany również pod innymi pseudonimami, takimi jak Aqua Blizzard, Armageddon czy Primitive Bear, regularnie wykazuje niezwykle wyrafinowane podejście do swoich cyberataków. Ostatnie doniesienia ujawniają, że grupa ta wykorzystuje również technologię Cloudflare Tunnels, aby ukryć swoją infrastrukturę odpowiedzialną za przechowywanie złośliwego oprogramowania, takiego jak GammaDrop. Taka taktyka skutecznie utrudnia wykrycie i zablokowanie ich działań przez tradycyjne mechanizmy bezpieczeństwa.
Według raportów BoneSpy działa co najmniej od 2021 roku, natomiast PlainGnome pojawił się na początku bieżącego roku. Kampanie prowadzone przy użyciu tych narzędzi są mierzone w takich krajach jak Uzbekistan, Kazachstan, Tadżykistan i Kirgistan, choć brak jest dowodów na ich użycie w Ukrainie, która dotychczas była głównym celem Gamaredon. Eksperci spekulują, że zmiana kierunku tych działań może wynikać z pogarszających się relacji pomiędzy Rosją a tymi państwami od początku konfliktu na Ukrainie.
We wrześniu ubiegłego roku firma ESET ujawniła usiłowania Gamaredon, by infiltrować cele w kilku krajach NATO, takich jak Polska, Łotwa, Litwa czy Bułgaria. Mimo niepowodzeń, te incydenty wskazują na nieustające ambicje grupy, by poszerzać zakres swoich działań daleko poza granice Rosji.
Kluczowe różnice między BoneSpy a PlainGnome polegają na ich konstrukcji i sposobie działania. BoneSpy bazuje na otwartoźródłowym oprogramowaniu DroidWatcher i funkcjonuje jako samodzielna aplikacja. Z kolei PlainGnome jest nośnikiem złośliwego oprogramowania i wymaga od ofiary nadania uprawnień do instalacji innych aplikacji. Wspólnym mianownikiem obu narzędzi jest ich skupienie na wykradaniu szerokiego zakresu danych z zainfekowanych urządzeń: od wiadomości tekstowych, przez historię przeglądania, po dźwięki otoczenia i nagrania z kamer.
Dotychczasowe analizy sugerują, że aplikacje z BoneSpy i PlainGnome rozprzestrzeniają się poprzez ukrywanie w programach o fałszywych funkcjach, takich jak monitorowanie baterii, przeglądarka zdjęć, podrobiona wersja aplikacji Samsung Knox czy zmodyfikowany Telegram. Użytkownicy muszą szczególnie uważać na aplikacje pochodzące z nieoficjalnych źródeł, które mogą kryć w sobie potencjalne zagrożenia.
Z każdym nowym odkryciem cyberprzestępcy udowadniają, że są w stanie dostosowywać swoje metody w zależności od środowiska i celów ich ataków. Świat cyberbezpieczeństwa musi reagować szybko, aby sprostać tym dynamicznym wyzwaniom oraz chronić dane i prywatność użytkowników.