Theo Lookout, BoneSpy và PlainGnome là các công cụ giám sát Android được phát triển bởi Gamaredon (hay còn gọi là Primitive Bear, Shuckworm), một nhóm tin tặc APT có liên quan đến Cơ quan An ninh Liên bang Nga (FSB). Cả hai phần mềm gián điệp này đều nhắm vào những người nói tiếng Nga ở các quốc gia thuộc Liên Xô cũ.

Ngoài ra, một công ty phát triển phần mềm Trung Quốc được phát hiện đã tạo ra EagleMsgSpy, một công cụ giám sát hợp pháp được nhiều cơ quan chính phủ ở Trung Quốc đại lục sử dụng để thu thập thông tin mở rộng từ các thiết bị di động.

Hai nhà nghiên cứu Kyle Schmittle và Alemdar Islamoglu của Lookout đã trình bày những phát hiện của họ tại sự kiện Black Hat Europe ở London vào ngày 11/12/2024.

PHẦN MỀM GIÁN ĐIỆP BONESPY VÀ PLAINGNOME

BoneSpy và PlainGnome là những dòng mã độc di động đầu tiên được biết đến có liên quan đến Gamaredon, một nhóm APT nổi tiếng với các chiến dịch gián điệp mạng nhắm vào các thiết bị máy tính để bàn. Năm 2021, Cơ quan An ninh Ukraine (SSU) đã quy kết trách nhiệm và cho rằng nhóm tin tặc này là một phần của FSB.

BoneSpy thường được phát tán thông qua các ứng dụng Telegram đã bị nhiễm Trojan hoặc bằng cách mạo danh Samsung Knox, dựa trên ứng dụng giám sát mã nguồn mở DroidWatcher, ra đời từ năm 2013.

Hình 1. Mạo danh Samsung Knox Manager

Trong khi đó, PlainGnome xuất hiện lần đầu tiên vào năm 2024 nhưng có giao diện tương tự và các thuộc tính máy chủ điều khiển và ra lệnh (C2) với BoneSpy. Các nhà nghiên cứu cho rằng PlainGnome đã phát triển các tính năng trong code từ tháng 01 đến tháng 10 năm nay, cho thấy phần mềm gián điệp này đang được cải tiến tính năng.

PlainGnome sử dụng quy trình cài đặt hai giai đoạn tách biệt dropper và phần tải, khiến nó trở nên bí mật và linh hoạt hơn. Ngoài ra, PlainGnome có đầy đủ các tính năng thu thập dữ liệu của BoneSpy nhưng cũng tích hợp các tính năng nâng cao như Jetpack WorkManager để chỉ trích xuất dữ liệu khi thiết bị không hoạt động, giúp giảm thiểu rủi ro bị phát hiện.

Lookout lưu ý rằng BoneSpy và PlainGnome chưa bao giờ được tìm thấy trên Google Play, vì vậy chúng có nhiều khả năng được tải xuống từ các trang web mà nạn nhân được hướng dẫn truy cập thông qua kỹ nghệ xã hội. Cách tiếp cận này phù hợp với phạm vi nhắm mục tiêu hẹp của các tin tặc Gamaredon.

Báo cáo của nhà nghiên cứu nhấn mạnh Gamaredon ngày càng tập trung vào các thiết bị Android, cho thấy các chiến thuật ngày càng phát triển của nhóm này nhằm mở rộng khả năng giám sát sang các thiết bị di động, vốn ngày càng được sử dụng trong mọi khía cạnh của cuộc sống và biến chúng thành mục tiêu có giá trị.

Cả hai nhóm mã độc này vẫn hoạt động và chủ yếu nhắm vào những cá nhân nói tiếng Nga ở các nước thuộc Liên Xô cũ như Uzbekistan, Kazakhstan, Tajikistan và Kyrgyzstan.

“Mặc dù Gamaredon trước đây luôn nhắm vào Ukraine, nhưng việc hướng mục tiêu vào các quốc gia Trung Á như Uzbekistan có thể là do mối quan hệ giữa các quốc gia này và Nga trở nên xấu đi kể từ khi xảy ra cuộc xung đột quân sự Nga - Ukraine diễn ra vào năm 2022”, hai nhà nghiên cứu Kyle Schmittle và Alemdar Islamoglu cho biết.

Tính năng 

Cả hai công cụ phần mềm gián điệp đều có khả năng giám sát rộng rãi, các tính năng nổi bật bao gồm: Cố gắng giành quyền truy cập root vào thiết bị; Kiểm tra trình chống phân tích; Theo dõi vị trí; Truy cập nội dung clipboard; Giám sát một số thông tin dữ liệu nhạy cảm của người dùng như tin nhắn SMS, âm thanh xung quanh, bản ghi cuộc gọi, thông báo, lịch sử trình duyệt, danh bạ, nhật ký cuộc gọi, ảnh chụp màn hình và thông tin nhà cung cấp dịch vụ di động.

PlainGnome hoạt động như một trình công cụ dropper cho payload giám sát, trong khi BoneSpy được triển khai như một ứng dụng độc lập.

Trước khi phát hiện ra BoneSpy và PlainGnome, nhà nghiên cứu Schmittle của Lookout cho biết nhóm của ông chỉ biết đến hai dòng phần mềm gián điệp của Nga. Đầu tiên là Monokle, do công ty Special Technology Center (STC) có trụ sở tại St. Petersburg phát triển vào năm 2019 và có khả năng được nhóm tin tặc Turla sử dụng. Phần mềm gián điệp còn lại là Infamous Chisel, được các tin tặc Sandworm sử dụng để tấn công vào các thực thể quân sự của Ukraine ít nhất từ năm 2023.

Hình 2. Vòng đời phát triển các dòng phần mềm gián điệp của Nga

PHẦN MỀM GIÁN ĐIỆP EAGLEMSGSPY

EagleMsgSpy là một công cụ giám sát hợp pháp đã hoạt động ít nhất từ ​​năm 2017 và được một số cơ quan an ninh Trung Quốc sử dụng để thu thập thông tin mở rộng từ các thiết bị di động ở Trung Quốc đại lục.

Các nhà nghiên cứu đánh giá rằng EagleMsgSpy chủ yếu được sử dụng để nhắm vào những cộng đồng “Five Poison”. Bên cạnh đó, Lockout cũng xác định được hai địa chỉ IP có liên quan đến EagleMsgSpy, trước đây từng được liên kết với các công cụ gián điệp khác có trụ sở tại Trung Quốc, bao gồm CarbonSteal, được biết đến với vai trò trong các chiến dịch trước đây nhắm vào cộng đồng người Tây Tạng và Duy Ngô Nhĩ.

Tính năng

Các nhà nghiên cứu cho biết, EagleMsgSpy cài đặt trên thiết bị Android của nạn nhân và được cấu hình thông qua quyền truy cập vào thiết bị đã mở khóa. Sau khi xâm nhập, payload chạy ở chế độ nền, ẩn hoạt động của nó khỏi người dùng và thu thập dữ liệu mở rộng.

Payload giám sát thu thập một lượng lớn dữ liệu về thiết bị của nạn nhân bao gồm: ảnh chụp màn hình, nhật ký cuộc gọi, tin nhắn SMS và tọa độ GPS. Ngoài ra, các bản ghi âm khi thiết bị đang được sử dụng cũng được thu thập. Phần mềm gián điệp này cũng theo dõi tất cả tin nhắn từ các nền tảng phổ biến như QQ, Telegram, Viber, WhatsApp và WeChat.

Sau đó, những dữ liệu giám sát này được lưu trữ trong một thư mục ẩn trên hệ thống tệp của thiết bị để có thể trích xuất. Các tệp dữ liệu này được nén và bảo vệ bằng mật khẩu trước khi được gửi đến máy chủ C2.