Les cyberespions russes Kamarudin ont été découverts en utilisant deux familles de logiciels espions Android nommées « Bones » et « Plain Gnome » pour espionner et voler des données à partir d’appareils mobiles.
Selon Lookout, qui a découvert les deux familles de logiciels malveillants, BoneSpy est actif depuis 2021, tandis que Playing Gnome est apparu en 2024. Les deux ciblent les personnes russophones dans les anciens États soviétiques.
Gamaredon (alias « Shuckworm ») est censé faire partie de l’Agence fédérale de sécurité russe (FSB), et ses opérations sont étroitement liées aux intérêts géopolitiques nationaux du pays.
Bien que le groupe de menaces ait utilisé divers outils malveillants, Bones et Plain Gnome sont les premiers cas documentés de logiciels malveillants Gamaredon ciblant les appareils mobiles, en particulier Android.
Des logiciels malveillants open source aux logiciels malveillants personnalisés
Bones, généralement livré via des applications Telegram trojan ou en se faisant passer pour Samsung Knox, était basé sur l’application de surveillance open source « DroidWatcher », qui remonte à 2013.
Lookout indique que le travail de développement sur BoneSpy a culminé entre janvier et octobre 2022, se stabilisant aux capacités suivantes:
- Collecte les messages SMS, y compris l’expéditeur, le contenu et les horodatages
- Enregistre l’audio ambiant et les conversations téléphoniques
- Capture les données de localisation GPS et cellulaires
- Prend des photos à l’aide de l’appareil photo et capture des captures d’écran de l’appareil
- Accède à l’historique de navigation Web de l’utilisateur
- Extrait les noms, numéros, e-mails et détails des appels de la liste de contacts et des journaux d’appels
- Accède au contenu du presse-papiers
- Lit les notifications de l’appareil
PlainGnome est un nouveau logiciel malveillant de surveillance Android personnalisé qui n’utilise pas la base de code d’un projet précédemment connu. Lookout a observé une évolution significative de son code de janvier à octobre de cette année, indiquant un développement actif.
Le nouveau malware utilise un processus d’installation en deux étapes séparant le compte-gouttes et la charge utile, ce qui le rend plus furtif et plus polyvalent.
PlainGnome dispose de toutes les capacités de collecte de données de BoneSpy, mais intègre également des fonctionnalités avancées telles que Jetpack WorkManager pour exfiltrer les données uniquement lorsque l’appareil est inactif, réduisant ainsi les risques de détection.
Le logiciel malveillant prend en charge un mode d’enregistrement qui ne s’active que lorsque l’appareil est inactif et que l’écran est éteint pour éviter d’informer les victimes via des indicateurs d’activation du microphone qu’elles sont espionnées.
Malgré la sophistication accrue des opérations de surveillance, Lookout note que le logiciel espion ne comporte actuellement aucune forme d’obscurcissement de code, de sorte que l’analyse a rapidement révélé sa véritable nature.
Au lancement, il demande l’approbation d’autorisations dangereuses telles que l’accès aux SMS, aux contacts, aux journaux d’appels et aux caméras. Cependant, étant donné son masquage en tant qu’application de communication, les victimes peuvent être amenées à approuver la demande.
Lookout note que ni BoneSpy ni PlainGnome n’ont jamais été trouvés sur Google Play, ils sont donc très probablement téléchargés à partir de sites Web auxquels les victimes sont invitées à suivre l’ingénierie sociale. Cette approche correspond à la portée de ciblage étroite de Gamaredon.
Le rapport du chercheur met en évidence l’intérêt croissant de Gamaredon pour les appareils Android, présentant les tactiques évolutives du groupe pour étendre ses capacités de surveillance aux appareils mobiles, qui sont de plus en plus utilisés dans tous les aspects de notre vie et en font des cibles précieuses.
Google a confirmé à Breachtrace que Google Play Protect protège automatiquement contre les versions connues de ce logiciel malveillant.