Android

ロシアのサイバースパイGamaredonが、「BoneSpy」と「PlainGnome」という2つのAndroidスパイウェアファミリーを使用して、モバイルデバイスをスパイし、データを盗んでいることが発見された。

2つのマルウェア・ファミリーを発見したLookoutによると、BoneSpyは2021年から活動しており、PlainGnomeは2024年に出現した。どちらも旧ソビエト諸国のロシア語を話す個人をターゲットにしている。

Gamaredon(別名「Shuckworm」)はロシア連邦保安庁(FSB)の一部と考えられており、その活動はロシアの国家的地政学的利益と密接に結びついている

この脅威グループは、これまで様々なマルウェアツールを使用してきましたが、モバイルデバイス、特にAndroidを標的としたGamaredonマルウェアの事例としては、BoneSpyとPlainGnomeが初めて文書化されました。

オープンソースからカスタム・マルウェアへ

BoneSpyは通常、トロイの木馬化されたTelegramアプリやSamsung Knoxになりすまして配信され、2013年までさかのぼるオープンソースの監視アプリ「DroidWatcher」をベースにしていた。

Impersonating the Samsung Knox Manager
Samsung Knox Managerになりすます
Source

ルックアウトによると、BoneSpyの開発作業は2022年1月から10月にかけてピークを迎え、以下のような機能に安定したという:

  • 送信者、内容、タイムスタンプを含む SMS メッセージの収集
  • 周囲の音声と電話の会話を記録
  • GPSとセルベースの位置情報を取得
  • カメラによる写真撮影とデバイスのスクリーンショットのキャプチャ
  • ユーザーのウェブ閲覧履歴にアクセス
  • 連絡先リストおよび通話ログから、名前、番号、電子メール、通話の詳細を抽出
  • クリップボードの内容にアクセス
  • デバイスの通知を読み取る

PlainGnomeは、以前知られていたプロジェクトのコードベースを使用していない、新しいカスタムAndroid監視マルウェアです。Lookoutは、今年1月から10月にかけてコードの大幅な進化を観測しており、活発な開発が行われていることを示しています。

この新しいマルウェアは、ドロッパーとペイロードを分離した2段階のインストールプロセスを使用しており、よりステルス性が高く、汎用性が高くなっています。

PlainGnomeは、BoneSpyのデータ収集機能をすべて備えているが、Jetpack WorkManagerのような高度な機能も統合しており、デバイスがアイドル状態のときにのみデータを流出させ、検知リスクを低減している。

このマルウェアは、デバイスがアイドル状態で画面がオフになっているときにのみ起動する録画モードをサポートしており、マイクの起動インジケータによって被害者にスパイされていることが漏れるのを防ぎます。

Lookoutによると、スパイウェアは現在、コードの難読化を一切行っていないため、分析によってその正体がすぐに判明したという。

起動すると、SMS、連絡先、通話ログ、カメラへのアクセスなど、危険な権限の承認を要求する。しかし、通信アプリとしての仮面をかぶっているため、被害者は騙されて要求を承認してしまう可能性がある。

Lookoutは、BoneSpyもPlainGnomeもGoogle Playでは発見されていないため、ソーシャルエンジニアリングに従って被害者が誘導されたウェブサイトからダウンロードされた可能性が高いと指摘している。このアプローチはGamaredonの狭いターゲット範囲と一致する。

研究者の報告書は、GamaredonがAndroidデバイスにますます焦点を合わせていることを強調しており、私たちの生活のあらゆる面でますます使用され、貴重な標的となっているモバイルデバイスに監視能力を拡大するために、グループの進化した戦術を示しています。

Googleは、Google Playプロテクトがこのマルウェアの既知のバージョンから自動的に保護することを確認しています。