Les chercheurs en sécurité de Lookout ont récemment découvert que le groupe russe Gamaredon utilisait deux familles de logiciels espions Android, BoneSpy et PlainGnome, à des fins d'espionnage et de vol de données. Il s’agit des premières familles connues de malwares mobiles liées au groupe de cyberespionnage russe.
Les utilisateurs d'Android ciblés par deux nouveaux programmes espions
Les auteurs de la menace auraient implanté BoneSpy à l'aide d'applications de type cheval de Troie se faisant passer pour des applications de surveillance de la charge de la batterie, des applications de galerie de photos, une application Samsung Knox et des applications Telegram. Gamaredon aurait commencé à utiliser des échantillons Telegram entièrement fonctionnels basés sur un cheval de Troie intitulés versions « bêta ». Dans le rapport publié, Lookout note que le développement du malware BoneSpy a connu un pic entre janvier et octobre 2022 avec de multiples fonctionnalités.
Il s’agit notamment de la collecte des détails des SMS et de l’enregistrement du son ambiant et des appels téléphoniques. En outre, le logiciel espion Android capture les données de localisation, les captures d'écran et les images basées sur le GPS et les appels. BoneSpy est également lié à l'accès à l'historique Web et à la récupération des noms, numéros, e-mails et détails exacts des appels.
D'autre part, PlainGnome est un nouveau logiciel espion de surveillance Android créé par le groupe Gamaredon. Il n'utilise pas la base de code d'un projet déjà connu. Selon le rapport, le code de PlainGnome a considérablement évolué de janvier à octobre de cette année. Cela laisse entendre que les cyberespions russes y travaillent activement.
Le nouveau logiciel espion Android utilise un processus d'installation en deux étapes en séparant le compte-gouttes et la charge utile. En plus des fonctionnalités de collecte de données telles que BoneSpy, PlainGnome inclut des fonctionnalités avancées telles que Jetpack WorkManager. Cela permet au logiciel espion d'exfiltrer les données lorsque l'appareil est inactif, réduisant ainsi les chances de détection, même par les utilisateurs férus de technologie.
Rien ne prouve que des applications infectées par des logiciels espions soient présentes sur le Google Play Store
Notamment, rien ne prouve que ces familles de malwares soient présentes sur Google Play. Par conséquent, on peut supposer que les victimes téléchargent souvent des applications contenant des logiciels espions à partir de sites Web tiers. Les chercheurs de Lookout soulignent également que Gamaredon fait évoluer ses tactiques pour étendre ses capacités de surveillance aux appareils Android.
Il convient de noter que Gamaredon a utilisé un logiciel espion Android lors d'attaques contre des victimes russophones dans d'anciens États soviétiques comme l'Ouzbékistan et le Kazakhstan. Cependant, le rapport ne confirme pas si le logiciel espion ciblait les citoyens ukrainiens.
