Gamaredon шпионит в Средней Азии, вооружившись Android-троянами
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Gamaredon шпионит в Средней Азии, вооружившись Android-троянами

Татьяна Никитина 13 Декабря 2024 - 18:49
...
Gamaredon шпионит в Средней Азии, вооружившись Android-троянами

Злоумышленники атакуют владельцев Android-устройств, используя троянских шпионов BoneSpy и PlainGnome. Заражения зафиксированы в разных регионах, в том числе в среднеазиатских странах бывшего СНГ.

В Lookout связали текущую кампанию с Gamaredon, она же Aqua Blizzard, Iron Tilden, Primitive Bear, Winterflounder и Shuckworm. Ранее мобильных зловредов в арсенале APT-группы замечено не было.

Шпион BoneSpy, по данным экспертов, активен в интернете как минимум с 2021 года, PlainGnome объявился лишь в этом году.

О способах распространения можно лишь догадываться: обоих троянов выдают за легитимные приложения — индикатор заряда батареи, фотоальбом, Telegram, сейф Samsung Knox. Сведений о раздаче таких фейков через Google Play обнаружено не было.

Анализ образцов показал, что функционально вредоносы схожи, но кодовая база у них разная. Ветеран BoneSpy построен на основе opensource-проекта Droid-Watcher и выполнен как автономное приложение; младший собрат использует кастомный код и представляет собой дроппер, в который встроена целевая полезная нагрузка.

Для работы PlainGnome требуется разрешение на установку других приложений (REQUEST_INSTALL_PACKAGES). Кроме этого, дропперу мало что нужно; из средств самозащиты он использует только базовые проверки на наличие эмуляторов.

Инсталляцию второго компонента (более тяжелый APK, замаскированный под фотогалерею) инициирует жертва, тапнув единственную кнопку на экране-заставке. Пейлоад второй ступени минимально защищен от анализа и суммарно запрашивает 38 разрешений.

 

Богатый набор функций обоих троянов обеспечивает выполнение следующих действий:

  • попытки получения root-доступа к девайсу;
  • отслеживание местоположения;
  • сбор информации об устройстве и поставщике сотовой связи;
  • сбор пользовательских данных (СМС, уведомления, список контактов, история браузера, журнал звонков);
  • запись с микрофона;
  • фотоснимки с помощью штатной камеры;
  • скриншоты.

Судя по загрузкам на VirusTotal, список стран-мишеней включает Казахстан, Узбекистан, Киргизию и Таджикистан. Образцы, поданные на проверку из этих стран, были снабжены русскоязычными именами — Личный.apk, Альбом.apk, Фотоальбом.apk; среди них попался также galareya.apk.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

США ввели санкции против Media Land и связанных с ней российских граждан
Яков Шпунт 19 Ноября 2025 - 19:11
Информационные войны Общее
США ввели санкции против Media Land и связанных с ней российских граждан

На сайте Управления по контролю за иностранными активами (OFAC) Минфина США появилась информация о включении в санкционные списки пяти российских граждан и семи принадлежащих им компаний, зарегистрированных в России, Великобритании, Сербии и Узбекистане.

Согласно официальному сообщению OFAC, основной целью санкций стала компания Media Land и её дочерние структуры, включая центр обработки данных в Киришах и Media Land Technology.

Параллельно аналогичные меры ввели профильные ведомства Австралии и Великобритании.

В санкционный список также включены генеральный директор Media Land Александр Волосовик и лица, которые, по версии американских властей, оказывали ему содействие: Илья Закиров, Кирилл Затолокин и Юлия Панкова.

Под ограничения попала и дочерняя структура Aeza Group — Hypercore, зарегистрированная в Великобритании, которая попала под санкции в июне, а также новый генеральный директор Aeza Максим Макаров.

Формальной причиной включения в списки стала деятельность по поддержке инфраструктуры программ-вымогателей и предоставление так называемого «пуленепробиваемого хостинга».

Американские власти утверждают, что Media Land участвовала в операциях группировок LockBit, BlackSuit и Play, а её инфраструктура использовалась для DDoS-атак на организации в США.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Хакеры создали фейковый аккаунт в сервисе Google для правоохранителей
Новость
Хакеры создали фейковый аккаунт в сервисе Google для правоох...
Apple отозвала сертификаты, используемые для подписи российских DLP
Новость
Apple отозвала сертификаты, используемые для подписи российс...
Утечка 500 ГБ данных раскрыла работу Великого китайского файрвола
Новость
Утечка 500 ГБ данных раскрыла работу Великого китайского фай...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.