Gamaredon шпионит в Средней Азии, вооружившись Android-троянами
Главная » Новости
Мониторинг ИТ-инфраструктурыВ эфире AM Live мы обсудим, как создать работающий мониторинг в ИТ, который работает на бизнес. От базовых принципов observability до внедрения SRE-подходов и управления надежностью через SLI/SLO. Разберем какие метрики использовать для мониторинга состояния сервисов, как строить платформу мониторинга и как интегрировать ее с ITSM, CI/CD и SecOps. Цель — превратить мониторинг из простого наблюдения в инструмент управления.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Gamaredon шпионит в Средней Азии, вооружившись Android-троянами

Татьяна Никитина 13 Декабря 2024 - 18:49
...
Gamaredon шпионит в Средней Азии, вооружившись Android-троянами

Злоумышленники атакуют владельцев Android-устройств, используя троянских шпионов BoneSpy и PlainGnome. Заражения зафиксированы в разных регионах, в том числе в среднеазиатских странах бывшего СНГ.

В Lookout связали текущую кампанию с Gamaredon, она же Aqua Blizzard, Iron Tilden, Primitive Bear, Winterflounder и Shuckworm. Ранее мобильных зловредов в арсенале APT-группы замечено не было.

Шпион BoneSpy, по данным экспертов, активен в интернете как минимум с 2021 года, PlainGnome объявился лишь в этом году.

О способах распространения можно лишь догадываться: обоих троянов выдают за легитимные приложения — индикатор заряда батареи, фотоальбом, Telegram, сейф Samsung Knox. Сведений о раздаче таких фейков через Google Play обнаружено не было.

Анализ образцов показал, что функционально вредоносы схожи, но кодовая база у них разная. Ветеран BoneSpy построен на основе opensource-проекта Droid-Watcher и выполнен как автономное приложение; младший собрат использует кастомный код и представляет собой дроппер, в который встроена целевая полезная нагрузка.

Для работы PlainGnome требуется разрешение на установку других приложений (REQUEST_INSTALL_PACKAGES). Кроме этого, дропперу мало что нужно; из средств самозащиты он использует только базовые проверки на наличие эмуляторов.

Инсталляцию второго компонента (более тяжелый APK, замаскированный под фотогалерею) инициирует жертва, тапнув единственную кнопку на экране-заставке. Пейлоад второй ступени минимально защищен от анализа и суммарно запрашивает 38 разрешений.

 

Богатый набор функций обоих троянов обеспечивает выполнение следующих действий:

  • попытки получения root-доступа к девайсу;
  • отслеживание местоположения;
  • сбор информации об устройстве и поставщике сотовой связи;
  • сбор пользовательских данных (СМС, уведомления, список контактов, история браузера, журнал звонков);
  • запись с микрофона;
  • фотоснимки с помощью штатной камеры;
  • скриншоты.

Судя по загрузкам на VirusTotal, список стран-мишеней включает Казахстан, Узбекистан, Киргизию и Таджикистан. Образцы, поданные на проверку из этих стран, были снабжены русскоязычными именами — Личный.apk, Альбом.apk, Фотоальбом.apk; среди них попался также galareya.apk.

Следующая главная новость »
AM LiveСбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

ФСТЭК обсуждает обязательную подпись ПО с помощью российских СКЗИ
Яков Шпунт 20 Мая 2026 - 08:50
Соответствие законодательству РФ Общее Системы защиты от несанкционированного доступаСредства криптографической защиты информацииСоответствие требованиям регуляторов
ФСТЭК обсуждает обязательную подпись ПО с помощью российских СКЗИ

Начальник управления Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК) Дмитрий Шевцов сообщил на конференции «ЦИПР-2026», что служба обсуждает необходимость введения обязательной подписи ПО с использованием отечественных криптографических средств.

Ранее источники ТАСС подтверждали, что процедура заверения кода с помощью отечественных средств криптозащиты пока находится на стадии обсуждения.

Генеральный директор Национального технологического центра цифровой криптографии (НКЦКИ) Игорь Качалин, выступая на одной из сессий конференции, отметил, что требование об обеспечении целостности ПО и его обновлений давно присутствует в документах ФСТЭК.

Он также поднял вопрос о внедрении подписи кода с использованием российских криптографических алгоритмов. В ответ Дмитрий Шевцов заявил, что соответствующая процедура уже находится на стадии экспериментов:

«В рамках этого эксперимента мы должны получить результаты, возможности внедрения соответствующих подписей. И если этот эксперимент, мы надеемся, в этом году завершится, и с положительным результатом, то тогда то, что прозвучало в вашем вопросе, Игорь Федорович, действительно будет необходимостью. Вы говорили, что именно необходимо использовать российские механизмы для реализации подписи кода».

По словам Дмитрия Шевцова, для реализации такого требования необходимо на практике отработать все механизмы. В частности, речь идёт о предоставлении подписей с использованием отечественной криптографии без задержек, а также об удобстве процедур для разработчиков. Только при соблюдении этих условий, отметил представитель ФСТЭК, такое требование можно будет сделать обязательным.

AM LiveСбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!
Google упростит исключение приложений из VPN в Android 17
Новость
Google упростит исключение приложений из VPN в Android 17
Сбои мобильного интернета добрались до общественных туалетов в Москве
Новость
Сбои мобильного интернета добрались до общественных туалетов...
Википедию атаковал портящий страницы JavaScript-червь
Новость
Википедию атаковал портящий страницы JavaScript-червь

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.