I ricercatori di Lookout hanno scoperto due nuovi spyware per Android. BoneSpy e PlainGnome vengono utilizzati per attività di cyberspionaggio dal gruppo Gamaredon (alias Shuckworm) che opera per conto della Federal Security Agency (FSB) della Russia. Le vittime si trovano principalmente nei paesi dell’ex Unione Sovietica che hanno contestato l’invasione dell’Ucraina, ma anche in alcuni paesi occidentali.

Dettagli di BoneSpy e PlainGnome

BoneSpy è stato usato solo recentemente, ma le prime tracce risalgono a fine dicembre 2021. È derivato da DroidWatcher, un’app open source per la sorveglianza sviluppata tra il 2013 e il 2014. Lo spyware viene distribuito all’interno di varie app, tra cui le versioni fake di Samsung Knox e Telegram.

Offre ovviamente un pacchetto completo di funzionalità. Può registrare audio tramite i microfoni dello smartphone e le telefonate, scattare foto con la fotocamera e catturare screenshot dello schermo, raccogliere informazioni sul dispositivo (IMEI, SIM card, operatore e altre), accedere a contatti, cronologia del browser, log delle chiamate, SMS, posizione geografica, clipboard, notifiche, elenco delle app installate.

PlainGnome è stato invece scoperto a gennaio. Sfrutta un processo di installazione a due stadi (dropper e payload), ma entrambi usano un pacchetto modificato di Telegram. Le funzionalità sono simili a quelle di BoneSpy con alcune modifiche per evitare la rilevazione. Può ad esempio registrare l’audio tramite i microfoni dello smartphone quando lo schermo è spento. In questo modo, l’utente non vede l’icona del microfono.

Nessuno dei due spyware viene distribuito tramite app pubblicate sul Google Play Store. Le vittime scaricano le app da altre fonti, probabilmente dopo essere state ingannate con tecniche di ingegneria sociale. Google ha confermato che la funzionalità Play Protect rileva e blocca i malware.