13/12/2024
IT-Connect » Actualités » Actu Cybersécurité » Les pirates de Gamaredon ciblent Android avec deux spywares : BoneSpy et PlainGnome

Les pirates de Gamaredon ciblent Android avec 2 spywares - BoneSpy et PlainGnome
Actu CybersécuritéMobile

Les pirates de Gamaredon ciblent Android avec deux spywares : BoneSpy et PlainGnome

Florian BURNEL 0 commentaire

Le groupe de cybercriminels nommé Gamaredon est à l'origine de deux logiciels espions pour Android appelés BoneSpy et PlainGnome ! Il s'agit de leur première campagne malveillante dédiée à Android. Faisons le point sur cette menace.

Pour rappel, Gamaredon, est un groupe de pirates informatiques affilié au Service fédéral de sécurité russe, c'est-à dire le FSB. Il également connu sous d'autres noms comme Aqua Blizzard, Armageddon, BlueAlpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 et Winterflounder.

L'équipe de recherche de Lookout a publié un nouveau rapport pour évoquer deux spywares associés à ce groupe de pirates. BoneSpy est utilisé depuis au moins 2021, tandis que PlainGnome est apparu pour la première fois en 2024. D'après les chercheurs, ces deux logiciels malveillants sont toujours en circulation à l'heure actuelle.

Ils sont utilisés dans le cadre de missions de surveillance des terminaux mobiles sous Android. Une fois qu'un appareil est infecté par l'un ou l'autre de ces spywares, le logiciel malveillant peut lire et extraire des données : les SMS, les journaux d'appels, l'audio des appels téléphoniques, les photos prises par les caméras de l'appareil, la localisation de l'appareil, l'historique de navigation et la liste des contacts.

"PlainGnome sert de dropper pour une charge utile de surveillance, stockée dans le paquet dropper, tandis que BoneSpy est déployé en tant qu'application autonome.", précise le rapport.

BoneSpy et PlainGnome sont distribués par l'intermédiaire d'applications trojanisées. Il y a notamment des applications de surveillance de l'autonomie de la batterie, des applications de galerie de photos, une fausse application Samsung Knox et des versions piégées de Telegram.

Quelles sont les cibles ?

Ces deux logiciels malveillants seraient utilisés dans le cadre d'attaques ciblées. Lookout évoque une campagne contre les anciens États soviétiques et les victimes sont principalement russophones. Autrement dit, les victimes sont plutôt situées dans plusieurs pays comme la Biélorussie, l'Arménie, l'Azerbaïdjan ou encore la Moldavie.

"Si Gamaredon a toujours ciblé l'Ukraine, le ciblage de pays d'Asie centrale comme l'Ouzbékistan résulte probablement de la détérioration des relations entre ces pays et la Russie depuis le début de l'invasion russe de l'Ukraine en 2022.", précise Lookout dans son rapport.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

RGPD : Pour qui ? Pourquoi ? Comment ?

Florian BURNEL 2

Firefox OS 2.5 : Les nouveautés de cette version majeure

Florian BURNEL 0
Google Authenticator synchronisation compte Google

Synchroniser Google Authenticator avec son compte Google : c’est possible !

Florian BURNEL 1

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.