Actif depuis une dizaine d’années, le groupe APT (Advanced Persistent Threat) Gamaredon est également connu sous les noms de Aqua Blizzard, Primitive Bear, Shuckworm ou encore Trident Ursa. Il est lié au service de renseignement russe FSB.
Selon ESET Research, les opérations de cyberespionnage de Gamaredon ont principalement visé les institutions gouvernementales ukrainiennes, même si des tentatives d’intrusion ont aussi été détectées dans plusieurs pays de l’OTAN.
Lookout dévoile deux spywares BoneSpy et PlainGnome attribués à Gamaredon et ciblant des victimes russophones dans les anciennes républiques soviétiques. « BoneSpy et PlainGnome sont les premiers cas documentés de malwares de Gamaredon ciblant des appareils mobiles, en particulier Android », souligne BleepingComputer.
Un socle open source pour BoneSpy
A priori, le Google Play Store est resté à l’abri de ces nuisibles qui sont capables de recueillir un large éventail de données sensibles. La méthode de distribution s’appuie probablement sur des techniques d’ingénierie sociale.
Selon Lookout, BoneSpy est dérivé d’une application de surveillance russe open source DroidWatcher et se dissimule dans de fausses applications Telegram ou Samsung Knox, notamment. Plus récent, PlainGnome n’est pas basé sur du code open source et n’est pas déployé en tant qu’application autonome. Son déploiement se fait en deux étapes.
« BoneSpy et PlainGnome collectent tous les deux des données telles que les messages SMS, les journaux d’appels, l’audio des appels téléphoniques, les photos des caméras des appareils, la localisation et les listes de contacts », écrit Lookout.
Une curiosité avec PlainGnome
Afin de réduire les risques de détection, PlainGnome s’appuie sur Jetpack WorkManager pour gérer l’exfiltration des données uniquement lorsque l’appareil de la victime entre dans un état inactif (idle).
Cependant, Lookout note de manière surprenante que les développeurs de PlainGnome n’ont pris que des mesures basiques pour en empêcher l’analyse.