گروه هکری Gamaredon که به عنوان یک گروه تهدید مداوم پیشرفته (APT) شناخته میشود و سابقه حملات هدفمند به زیرساختها و نهادهای حیاتی را دارد، اخیراً اقدام به انتشار جاسوس افزارهای اندرویدی با نامهای BoneSpy و PlainGnome در کشورهای منطقه اتحاد جماهیر شوروی سابق کرده است. این اولین باری است که Gamaredon از خانوادههای بدافزارهای تلفن همراه در حملات خود استفاده میکند.
این جاسوس افزارها به طور خاص برای جمعآوری اطلاعات حساس از دستگاههای اندرویدی طراحی شدهاند و نشان دهنده تمایل Gamaredon به فعالیت در حوزه حملات تلفن همراه است. اتحاد جماهیر شوروی اکنون شامل ۱۵ کشور روسیه، اوکراین، بلاروس، مولداوی، ارمنستان، گرجستان، آذربایجان، قزاقستان، ازبکستان، ترکمنستان، قرقیزستان، تاجیکستان، لیتوانی، لتونی و استونی میشود.
Gamaredon که با نامهای Primitive Bear، Actinium و UAC-0010 نیز شناخته میشود، یک APT روسی است که از سال ۲۰۱۳ فعال میباشد و فعالیتهای آن بیشتر در راستای اهداف سیاسی و نظامی روسیه طراحی شدهاند. Gamaredon به طور معمول از حملات فیشینگ، مهندسی اجتماعی و بدافزارها برای نفوذ به سیستم قربانیان استفاده میکند و تمرکز آن بر اطلاعات نظامی، دولتی و زیرساختهای حیاتی کشورهای هدف است.
جاسوس افزارهای BoneSpy و PlainGnome طیف وسیعی از عملکردها را برای جمعآوری اطلاعات از دستگاه آلوده، پیامهای SMS، گزارش تماسها، فهرست تماسها، تاریخچه مرورگر، تماسهای صوتی، عکسهای دوربین، لوکیشن، لیست مخاطبین دستگاه، ضبط صدای محیط اطراف، نوتیفیکیشنها، ارائه دهنده سرویس تلفن همراه، تهیه اسکرینشات، و فراهم کردن دسترسی روت اجرا میکنند.
انتساب بدافزارهای جدید به گروه Gamaredon ناشی از اتکا به ارائه دهندگان سرویس DNS پویا و همپوشانی در آدرسهای IP آنها است که به دامنههای سرورهای فرماندهی و کنترل (C2) مشابهی اشاره دارند که در حمله به دستگاههای موبایل و دسکتاپ استفاده شدهاند.
BoneSpy و PlainGnome دارای تفاوت مهمی میباشند. BoneSpy از جاسوس افزار منبع باز Droid-Watcher که یک برنامه مستقل میباشد، مشتق شده است. در حالی که PlainGnome به عنوان یک دراپر (نصب کننده بدافزار) برای ارائه یک پیلود تعبیه شده در آن عمل میکند. PlainGnome همچنین یک بدافزار سفارشی است اما قربانی را ملزم میسازد تا از طریق REQUEST_INSTALL_PACKAGES به او اجازه نصب برنامههای دیگر را بدهد.
نحوه دقیق توزیع جاسوس افزارهای BoneSpy و PlainGnome هنوز مشخص نیست، اما گمان میرود که از طریق حملات مهندسی اجتماعی هدفمندی منتشر شده باشند که خود را به عنوان برنامههای نظارت بر شارژ باتری، گالری، یک برنامه جعلی Knox سامسونگ و یک اپلیکیشن تلگرام تروجانیزه معرفی میکنند.
اقدامات امنیتی برای پیشگیری و مقابله با نفوذ بدافزارها
- آموزش کاربران:
- آموزش کاربران در مورد شناسایی پیامهای مشکوک، لینکهای فیشینگ و حملات مهندسی اجتماعی.
- جلوگیری از دانلود اپلیکیشنها از منابع غیرمعتبر.
- ابزارهای امنیتی موبایل:
- نصب آنتیویروس و نرمافزارهای امنیتی معتبر روی دستگاههای اندرویدی.
- فعالسازی قابلیت Play Protect فروشگاه Google Play.
- بهروزرسانی سیستم عامل:
- استفاده از آخرین نسخه اندروید برای کاهش آسیبپذیریها.
- کنترل دسترسیها:
- محدود کردن دسترسی اپلیکیشنها به دادههای حساس مانند موقعیت مکانی، میکروفون، و فایلهای ذخیره شده.
- مانیتورینگ و تجزیه و تحلیل:
- مانیتورینگ رفتارهای غیرعادی دستگاهها توسط تیمهای امنیتی.
