Lookout обнаружил два российских семейства шпионских программ для Android от Gamaredon APT

[Man]

• Компания Lookout обнаружила семейства шпионских программ для Android BoneSpy и PlainGnome и отнесла их к российской APT-группе Gamaredon (Primitive Bear, Shuckworm), связанной с Федеральной службой безопасности (ФСБ).
• BoneSpy используется как минимум с 2021 года, тогда как PlainGnome впервые появился в 2024 году. Оба семейства все еще активны на момент написания статьи.
• BoneSpy и PlainGnome нацелены на бывшие советские государства и фокусируются на русскоязычных жертвах. Lookout оценивает, что это нацеливание может быть связано с ухудшением отношений между этими странами и Россией после начала вторжения на Украину.
• И BoneSpy, и PlainGnome собирают такие данные, как SMS-сообщения, журналы вызовов, аудиозаписи телефонных разговоров, фотографии с камер устройств, местоположение устройства и списки контактов.
• PlainGnome действует как дроппер для полезной нагрузки наблюдения, хранящейся в пакете дроппера, в то время как BoneSpy развертывается как автономное приложение.

Исследователи из Lookout Threat Lab обнаружили два семейства Android-шпионажа, названные BoneSpy и PlainGnome. Оба они приписываются связанной с Россией группе кибершпионажа Gamaredon (также известной как Primitive Bear, Shuckworm). Эта группа была идентифицирована как часть Федеральной службы безопасности России (ФСБ) Службой безопасности Украины (СБУ) в 2021 году. Это первые известные мобильные семейства, приписываемые Gamaredon.
BoneSpy и PlainGnome, по-видимому, нацелены на русскоязычных жертв по всему бывшему Советскому Союзу в таких странах, как Узбекистан, Казахстан, Таджикистан и Кыргызстан. Хотя Gamaredon исторически нацелился на Украину, нацеливание на страны Центральной Азии, такие как Узбекистан, вероятно, стало результатом ухудшения отношений между этими странами и Россией с начала российского вторжения в Украину в 2022 году. Кроме того, хотя конкретные цели трудно определить, исследователи Lookout обнаружили признаки возможного нацеливания на предприятия с использованием семейства BoneSpy в начале 2022 года. Хотя группа угроз Gamaredon давно известна тем, что нацелена на Украину, у Lookout нет конкретных доказательств того, что BoneSpy или PlainGnome использовались против украинских жертв.

Атрибуция Гамаредону​

Исследователи Lookout приписывают BoneSpy и PlainGnome Gamaredon на основе использования IP-адресов, которые указывают на домены управления и контроля (C2) для обоих мобильных семейств, которые также наблюдались в настольных кампаниях Gamaredon. Мы также наблюдали большое количество доменов, разделяющих известное соглашение об именовании доменов Gamaredon, описанное MSTIC в апреле 2023 года, которые размещались на IP-инфраструктуре, совместно используемой с динамическими доменами DNS C2, используемыми с мобильным ПО для наблюдения группы. Кроме того, известно, что Gamaredon использует ddns[.]net и других динамических провайдеров DNS по крайней мере с 2017 года, последовательная техника, используемая BoneSpy и PlainGnome.
Эти инфраструктурные связи, а также доказательства российского развития и преследования русскоязычных групп в бывших советских республиках, приводят нас к выводу, что и BoneSpy, и PlainGnome управляются Gamaredon.

Анализ семейств приложений​

Lookout отслеживает BoneSpy с декабря 2021 года и обнаружил PlainGnome в январе 2024 года. BoneSpy является производным от российского DroidWatcher с открытым исходным кодом, приложения для наблюдения, разработанного в период с 2013 по 2014 год. Напротив, PlainGnome не основан на открытом исходном коде, но разделяет схожие темы и свойства сервера C2 с BoneSpy. PlainGnome также представляет собой двухэтапное развертывание, в то время как BoneSpy является автономным отдельным приложением. Каждое из них имеет широкие возможности наблюдения, включая:

• Попытка получить root-доступ к устройству
• Антианалитические проверки
• Отслеживание местоположения
• Получение информации об устройстве
• Получение конфиденциальных данных пользователя, таких как: текст
  • СМС сообщения
  • окружающий звук и записи звонков
  • уведомления
  • история браузера
  • контакты
  • журналы вызовов
  • фотографии с камеры
  • скриншоты
  • информация о поставщике услуг сотовой связи

‍
Приложения обоих семейств обладают свойствами, которые делают целевую социальную инженерию вероятным методом распространения. Насколько нам известно, ни одно из приложений, принадлежащих к одному из этих семейств вредоносных программ, не было доступно в Google Play.

Подробный анализ: BoneSpy​

Семейство BoneSpy продемонстрировало доказательства непрерывной разработки примерно в период с января по октябрь 2022 года, после чего образцы начали использовать последовательную тематику приманки и структуру кода. Более ранние образцы с января по сентябрь 2022 года использовали различные троянизированные приложения, такие как приложения для мониторинга заряда батареи, приложения для фотогалерей, поддельное приложение Samsung Knox и троянизированные приложения Telegram. Позже Gamaredon в значительной степени перешел на использование троянизированных, полностью функциональных образцов Telegram, названных «бета-версиями».
‍
Ранние образцы характеризовались высокой степенью экспериментирования функций, с основными возможностями сбора журнала вызовов, файловой системы, списка контактов, SMS-сообщений и электронных писем, в то время как другие образцы включали функциональность аудиозаписи. Два ранних образца использовали RTMP (Real-Time Messaging Protocol), потоковый протокол с открытым исходным кодом, для управления и контроля. Другие же проверяли доступ root, пытаясь записать строку «ZZZ» в путь к файлу, доступный только с повышенными привилегиями.
‍

5bf384e687da92562fcbabac390a88110ddb2755 записывает строку «ZZZ» в текстовый файл, если может получить привилегии суперпользователя.
‍
Функции наблюдения BoneSpy стабилизировались к концу 2022 года вместе с почти исключительным использованием троянизированных образцов Telegram. Образцы BoneSpy, наблюдаемые в этом году, имели следующие возможности наблюдения:

• История браузера
• SMS-сообщения, включая адресата, текст, дату и время, из входящих и отправленных сообщений
• Местоположение устройства по данным GPS и сотовой связи
• Списки контактов, включая имя, номер телефона и адрес электронной почты
• Журналы вызовов, такие как номер телефона, дата, имя, продолжительность и тип вызова
• Информация о файловой системе
• Список всех установленных приложений
• Фотосъемка с камер устройств
• Запись телефонных звонков
• Содержание уведомления
• Содержимое буфера обмена
• Скриншоты устройства путем злоупотребления проекцией медиа
• Информация об устройстве, такая как IMEI, SIM-карты, информация об операторе
• Проверка наличия прав root

Примечательной возможностью BoneSpy является возможность управления с помощью SMS-сообщений. Полный список команд, которые приложение наблюдения может получать с помощью SMS, см. в Приложении B.
BoneSpy основан на разработанном в России программном обеспечении слежения с открытым исходным кодом DroidWatcher, которое содержит практически идентичный код, имена и сообщения журнала в нескольких классах, связанных с обработкой баз данных, содержащих собранные данные exfil, такие как журналы вызовов, отслеживание местоположения, SMS-сообщения, уведомления и закладки браузера. Имена классов для многих точек входа (приемники, действия и службы) были либо такими же, либо очень похожими на образцы DroidWatcher.
В отличие от BoneSpy, PlainGnome не имеет схожих точек входа. Хотя большинство его возможностей наблюдения схожи, похоже, что он был разработан без широкого использования кода другого известного инструмента наблюдения.
‍

Подробный анализ: PlainGnome​

PlainGnome состоит из двухэтапного развертывания, в котором очень минимальная первая стадия сбрасывает вредоносный APK после его установки. Хотя первая и вторая стадии используют некоторые вариации имени пакета Telegram, фактическая функциональность, представленная пользователю, по сути та же, что и в предыдущих образцах BoneSpy с использованием темы «галерея изображений». Эта приманка продолжалась на протяжении большей части развертывания PlainGnome в течение 2024 года.

Поскольку он должен установить APK (т. е. полезную нагрузку наблюдения), первый этап полагается на разрешение REQUEST_INSTALL_PACKAGES. Помимо этого менее распространенного разрешения, первый этап запрашивает немного разрешений и является легким с точки зрения кода, хотя, в частности, содержит некоторые базовые проверки эмулятора. Жертва начинает установку второго этапа, нажимая единственную доступную кнопку на заставке первого этапа, на которой есть русское слово «каталог» (что означает каталог, список или директория).
‍

Заставка приложения первого этапа с кнопкой «каталог».
‍

Полезная нагрузка​

Код полезной нагрузки второго этапа PlainGnome значительно изменился с января 2024 года по крайней мере до октября. В частности, разработчики PlainGnome перешли на использование классов Jetpack WorkManager для обработки эксфильтрации данных, что упрощает разработку и обслуживание соответствующего кода. Кроме того, WorkManager позволяет указывать условия выполнения. Например, PlainGnome эксфильтрует данные с устройств-жертв только тогда, когда устройство переходит в состояние ожидания. Этот механизм, вероятно, предназначен для снижения вероятности того, что жертва заметит присутствие PlainGnome на своем устройстве.

В отличие от минималистичного первого этапа (установщик), второй этап выполняет все функции наблюдения и опирается на 38 разрешений. Разработчики PlainGnome не приложили никаких усилий для запутывания кода и предприняли самые элементарные шаги, чтобы затруднить анализ. PlainGnome поддерживает в общей сложности 19 команд, включая функции для сбора

• СМС-сообщения,
• контакты,
• GPS-местоположение,
• окружающий звук,
• аудиовызов,
• делать фотографии.

Подробный список команд приведен в Приложении C.

После запуска полезная нагрузка запрашивает у пользователя одобрение разрешений до тех пор, пока не получит доступ к минимальному набору разрешений:

• ЧИТАТЬ_СМС
• READ_CALL_LOG
• ЧИТАТЬ_КОНТАКТЫ
• КАМЕРА

Примечательно, что PlainGnome имеет два режима записи окружающего звука — один, который автоматически останавливает запись при активации экрана устройства, и другой, который разрешает запись независимо от состояния экрана. Это, вероятно, связано с тем, что более новые версии Android отображают значок микрофона в строке состояния, когда микрофон активен, что может помочь жертве слежки обнаружить вредоносное ПО.
‍

Инфраструктура​

За исключением некоторых ранних образцов, большинство образцов BoneSpy, а также PlainGnome используют службу No-IP Dynamic DNS с доменом ddns[.]net для хостинга домена C2. Известно, что Gamaredon использует ddns[.]net для инфраструктуры C2 по крайней мере с 2019 года. Gamaredon использует взаимоисключающие наборы доменов C2 для семейств BoneSpy и PlainGnome.
Согласно исследованию Palo Alto Unit42, Silent Push, Check Point и MSTIC, Gamaredon использует быстро вращающуюся инфраструктуру IP с подстановочными записями DNS A и другими динамическими технологиями DNS (включая ddns[.]net) в нескольких кампаниях для настольных компьютеров. Эти домены используют случайные имена из списков слов и следуют типичному соглашению об именовании <subdomain><2-значное число>[.]<apex domain>[.]ru (например, count56[.]vasifgo[.]ru), в котором один домен apex может иметь несколько десятков или сотен поддоменов. Домен llkeyvost.ddns[.]net, используемый PlainGnome, разделяет разрешающий IP-адрес 89.185.84[.]81 с несколькими доменами, соответствующими соглашению об именовании для недавней инфраструктуры C2 для настольных компьютеров Gamaredon. Некоторые из их разрешающих IP-адресов также разрешают несколько поддоменов ddns[.]net.
‍

Снимок пассивных записей DNS для 89.185.84[.]81 от VirusTotal показывает разрешение нескольких поддоменов Gamaredon desktop C2, таких как count56[.]vasifgo[.]ru и clap3[.]vasifgo[.]ru, а также PlainGnome C2 likeyvhost[.]ddns[.]net

Большая часть разрешающего пространства IP-адресов, связанного с доменами BoneSpy и PlainGnome C2, принадлежала российскому интернет-провайдеру Global Internet Solutions LLC (русский: ООО Глобал Интернет Решения), зарегистрированному в Севастополе, Украина, в оккупированном Крыму. Этот интернет-провайдер географически совмещен с физическим расположением операторов Gamaredon, которые, по данным СБУ, работают из отделения ФСБ в Севастополе. Украинский национальный координационный центр кибербезопасности сообщил, что Gamaredon в основном использует Global Internet Solutions.
‍

Записи Whois для 89.185.84[.]81, 81.19.140[.]71, 89.185.84[.]46 и 212.192.14[.]34 показывают регистратора Global Internet Solutions LLC, расположенного в Севастополе, Крым, а также в Перми, Россия. Севастополь является общим местом регистрации для всех IP-адресов, разрешающих BoneSpy и PlainGnome C2.

Несколько доменов BoneSpy и PlainGnome C2 были размещены на альтернативном надежном провайдере Global Connectivity Solutions (GCS, номер автономной системы 215540), причем инфраструктура IP последнего была геолокирована в Великобритании. Global Connectivity Solutions, LLP, зарегистрирована в Великобритании и принадлежит Евгению Валентиновичу Маринко, гражданину России. Маринко также владеет и является генеральным директором Global Internet Solutions, LLC. Маринко, известный под псевдонимами Рустам Янгиров или dimetr50, работал на хакерских форумах и занимался торговлей крадеными учетными данными по крайней мере с 2018 года. Кроме того, Маринко был оштрафован Севастопольским судом за мошенничество с использованием вредоносного ПО в конце 2023 года.
Одним из заметных исключений является IP-адрес 34.98.99[.]30 (принадлежащий Google Cloud), который разрешал домен C2 goos[.]pw.

В приложении D подробно описаны известные инфраструктурные совпадения между доменами вершины C2 настольных компьютеров Gamaredon и доменами C2 двух мобильных семейств, обсуждаемых в этой статье.

Жертвы​

Возможно, наиболее целевой образец BoneSpy, который имеет название «KnoxSystemManager», пытается маскироваться под Samsung Knox Manage, разработанный для управления корпоративной мобильностью на устройствах Samsung. Поскольку Knox Manage является корпоративной службой, этот образец предполагает, что BoneSpy мог быть развернут против целевых корпоративных жертв, а злоумышленник выдавал себя за внутреннего ИТ-администратора.
‍

Образец KnoxSystemManager BoneSpy (слева) представляет собой предельно простую функцию с опциями «Установить» и «Выйти»; настоящий Samsung Knox Manage (справа) представляет собой полную функциональность EMM.

Хотя это и не прямой показатель географии развертывания, сообщения VirusTotal об известных образцах BoneSpy и PlainGnome указывают на нацеливание на бывшие советские государства, такие как Узбекистан, Киргизия, Таджикистан. Хотя Gamaredon исторически нацелился на Украину по крайней мере с 2013 года, у Lookout нет прямых доказательств такого нацеливания в мобильных кампаниях Gamaredon, хотя возможность украинского нацеливания остается вероятной из-за долгой истории атак Gamaredon на украинские цели.
‍

VIrusTotal веб-заявок по странам для BoneSpy и PlainGnome, за все время

Дополнительные индикаторы таргетинга присутствуют в использовании приложений-приманок, в частности Telegram, а также русскоязычных имен файлов и рекламных строк, таких как те, что были обнаружены в образце BoneSpy cd6ee49b224ccb169d5d7f1b85c476cfc253540f. Позже злоумышленник, по-видимому, отошел от русскоязычных имен файлов APK. Постоянное использование троянизированных образцов Telegram в некоторой степени указывает на восточноевропейское таргетирование, поскольку приложение очень популярно в этом регионе. В таблице ниже показаны некоторые ранние образцы BoneSpy, которые были отправлены на VirusTotal с русскоязычными именами файлов.
‍

В некоторых ранних образцах BoneSpy от 2022 года обнаружены русскоязычные имена файлов.
‍

Заключение​

Исследователи Lookout обнаружили два новых мобильных инструмента для слежки под названием BoneSpy и PlainGnome. Мы приписываем их российской APT-группе Gamaredon (Primitive Bear, Shuckworm), связанной с Федеральной службой безопасности (ФСБ). И BoneSpy, и PlainGnome ориентированы на русскоязычных жертв в бывших советских республиках. BoneSpy используется как минимум с 2021 года и основан на программном обеспечении для слежки с открытым исходным кодом DroidWatcher. Хотя PlainGnome, впервые появившийся в этом году, имеет много общего по функциональности с BoneSpy, похоже, он не был разработан на той же кодовой базе.
‍

Приложение A — Индикаторы компрометации​

‍

Образец SHA-256​

2c7827f92a103db1b299f334043fbdc73805bbee11f4bfac195f672ba0464d22
114d2a25bb4c296f8ef5bfca4e8192b5aca9b169099ac6291139e68cfc7e37dc
8af63d7aa2142701116207f61e3e01c9e0239731e5bbbdf79114889b56ca46ea
ce6e5838f3ada452b64ffc6261e9bf74479bd31e83f77c7409c89564846db6a3
8407fed605805f0e7ef9628767d0aff1014e7231549b09f3c0d0cb723f07c48a
cb648ba5cce810e5ba17b89ca2c346bd3f0ad612834c225ec7b55871c4acc085
39cb17cb03a794e69eb4f0694e90e41a8cfb8480b82da82fcbd4a88dfe49930d
fd5fa718a7411b18845b76d7007db6b4431b1a2ce2f8b2cc047c0fff7c46161f
f0acf9558b7a4fcdaa119731ad5fb5bbdf5a704c9be9e929735a4679735989db
7de055018723b612dfa66a90c83a69afce7db918fb7fa88619833557c4fc61c3
551b8917f57c5cf8cd0a34c1d500db1dd4aed8ec8f31d28a5fabc4720e5b89a3
533ff7ba5eb5329cb860486a952259a4dfc0d74654831eb08dbcadc1ae5ca333
acede5fa46e09803adf9de5e731ca690dc7b02b69a63bacd4836429d289ec4f0
a3b0c178ab5e6e4b3442d358a78df7409461fa48f6ca8e63b730b0a455a89b18
7a8ec25f3d4a5c6b4fbdb1002ce22ff0352ce65c0f4ddc9567458e8fcb964845
86e51f1cc8213e173e47080ab45577e922e624006954de73ebae531589c912f4
2ef72c67cf76e8162f5e4bf0a743ac4ed756e153593c430cedf2043a310b24e8
5b7b5a2995c102121695225797f12f0b860500150472126b3b465b51ccad07bd
9dd73c9caa547358b6fe5acddf59443d7bf0ffc5b92867e9b67edd5bb2a9f786
3b5794ca6051740fff6e1b449db06f169df2749f81aaf4c329e18b12afb9a5c7
dfaa47ed20021c4f84bf68820a618f9e8a2e077d36b6d7281e8724b2124c7825
f948b650bdc63cf9b1781d651974a9c54d2b2981d3bf4b882f48c3a406272470
c82f0a1546bf7025993f2e7da33d1a741d91c78b01268a2d44afa31e66eb2fe8
de3a0b30b8976da933fe6bf88e6e7ab2386a967ada2599ef1dc1b12100a37694
bd65dbd61f27a90c0770d5f8cc02cfa7d9552f0fb300868611d69972b42d3f1c
кровать2cf8758d86daaf25475cc6ed1c71fd3f9a922247c42fe246f8542c76d8c15
255996e1aa2a7514b167d9c940d7c8ff3c34393e97e43bda319eb92ea626c4eb
46b10de13887c36d61517125bec87c4557f325114221291a3ac7142cbc15de29
6bfdc285dee8ae3e3dade52a34f5d178163e4a08904b651ff5c906e78ddccec0
e0c5656ca9877b37e92f5208caf9c65365e9d35ea6eb351915eb3efee235db31
30429e95b9318816709e23488c77e364a294b6f5f7e3ee414a6a2bef74620ca6
278c9819583ce64913882d425c1d7634307b290709e0143e9268f8f999dacfba
3a4fa698536111f377030a5d794851d2e23b18d67e6d440ce883b9906d65037d
629ca39d2c90ff8b343ba1f4cfae11bbc2f61ca6bae80bd093f22efbcf4e4770
633875ce353391ea8bd4c92d8f3f57a525ff0abf9eba8d78528de616b1ee7118
eadd9c3e3f7a1c5e008ca157cb850aa72d283f702da2ab4daf0e4af4d926ab3e

Домены сервера C2​

llkeyvost.ddns[.]net
fiordmoss.ddns[.]net
winterknowing.ddns[.]net
еженедельнонеобязательно.ddns[.]net
ltkwark.ddns[.]net
ollymap[.]pw
wleak[.]pw
goos[.]pw
‍

Приложение B — SMS-команды​

Приложение C — Команды PlainGnome​

Команды, поддерживаемые PlainGnome. Обратите внимание, что последние две команды появляются только в более поздних образцах.

Приложение D — Перекрытие инфраструктуры​

В таблице ниже подробно описываются совпадения между известными доменами Gamaredon desktop C2 apex, включая использование ddns[.]net для desktop C2 и доменами mobile ddns[.]net C2. Очевидное соглашение об именовании, распространенное в доменных именах Gamaredon mobile C2, заключается в использовании двух случайных слов, таких как fiordmoss.ddns[.]net. Более поздние домены, такие как llkeyvost.ddns[.]net или wwkravs.ddns[.]net, отражают переход от парных слов к более абстрактной и, возможно, более случайной схеме доменных имен.
Таблица показывает, что использование Gamaredon пространства IP-адресов, общего для серверов C2, для мобильных и настольных инструментов является непоследовательным и становится более распространенным в доменах, связанных с более поздними образцами BoneSpy, а также PlainGnome.

Источник