Najważniejsze informacje:
- Rosyjska grupa hakerska Gamaredon stworzyła dwa nowe rodzaje oprogramowania szpiegowskiego na Androida
- BoneSpy i PlainGnome potrafią przechwytywać SMS-y, nagrywać rozmowy i śledzić lokalizację
- Złośliwe oprogramowanie rozprzestrzeniane jest głównie poprzez fałszywe aplikacje Telegram
- Grupa działa w interesie FSB i celuje w użytkowników z byłych republik radzieckich
Eksperci ds. cyberbezpieczeństwa z firmy Lookout odkryli nowe zagrożenie dla użytkowników systemu Android. Rosyjska grupa hakerska Gamaredon, powiązana z FSB, stworzyła dwa wyrafinowane narzędzia szpiegowskie – BoneSpy oraz PlainGnome. To pierwsze udokumentowane przypadki, gdy ta grupa skupia się na urządzeniach mobilnych, co pokazuje rosnące znaczenie smartfonów jako celów cyberataków.
BoneSpy, działający od 2021 roku, bazuje na otwartym kodzie źródłowym projektu DroidWatcher. Hakerzy rozpowszechniają go głównie poprzez zmodyfikowane wersje aplikacji Telegram lub podszywając się pod Samsung Knox. Program posiada imponujący arsenał możliwości szpiegowskich – od przechwytywania SMS-ów i nagrywania rozmów, przez śledzenie lokalizacji GPS, aż po wykonywanie zrzutów ekranu i dostęp do historii przeglądania.
Nowszy PlainGnome, który pojawił się w 2024 roku, prezentuje jeszcze bardziej zaawansowane podejście. Jest to autorskie oprogramowanie, wykorzystujące dwuetapowy proces instalacji, co utrudnia jego wykrycie. Wykorzystuje także system Jetpack WorkManager do przesyłania danych tylko wtedy, gdy urządzenie jest bezczynne. Szczególnie niepokojąca jest funkcja nagrywania dźwięku aktywowana wyłącznie przy wyłączonym ekranie – użytkownik może nawet nie zorientować się, że jest podsłuchiwany.
Co ciekawe, mimo zaawansowanych możliwości, kod obu programów nie jest zaszyfrowany, co ułatwiło analitykom jego zbadanie. Google potwierdził, że Play Protect chroni przed znanymi wariantami tego malware’u, jednak zagrożenie pozostaje realne dla użytkowników pobierających aplikacje spoza oficjalnego sklepu.
