O Sirin Labs Solarin é um smartphone de ultra-segurança desenvolvido pela empresa suíça Sirin Labs , fundada por investidores israelenses com foco em tecnologia de proteção digital de nível militar. Ele foi lançado em 2016 e rapidamente ficou conhecido como um dos smartphones mais seguros e caros do mundo . Seu preço de lançamento foi de aproximadamente 12.600 euros (mais de R$ 70 mil na época) , o que fez com que fosse apelidado de “Rolls-Royce dos smartphones” . 🚀📱 📱 Solarin: o smartphone ultra seguro 🔐 Conceito do aparelho O Solarin foi projetado para executivos, autoridades, empresários e pessoas que precisam de comunicação extremamente segura , como se fosse um telefone com tecnologia de nível de agências de inteligência . A proposta era oferecer: comunicação criptografada proteção contra espionagem segurança de hardware e software privacidade máxima 🛡️ Principais tecnologias de segurança 1. Criptografia de nível militar O Solarin possui um modo especial de segu...
Gerar link
Facebook
X
Pinterest
E-mail
Outros aplicativos
Spyware Android da Gamaredon APT
Lookout descobre duas famílias russas de spyware Android da Gamaredon APT
A Lookout descobriu as famílias de vigilância BoneSpy e PlainGnome Android e as atribuiu ao grupo APT russo Gamaredon (Primitive Bear, Shuckworm) associado ao Serviço de Segurança Federal (FSB).
O BoneSpy está em uso desde pelo menos 2021, enquanto o PlainGnome apareceu pela primeira vez em 2024. Ambas as famílias ainda estão ativas no momento em que este artigo foi escrito.
BoneSpy e PlainGnome têm como alvo antigos estados soviéticos e focam em vítimas de língua russa. O Lookout avalia que esse alvo pode estar relacionado à piora das relações entre esses países e a Rússia desde o início da invasão da Ucrânia.
Tanto o BoneSpy quanto o PlainGnome coletam dados como mensagens SMS, registros de chamadas, áudio de chamadas telefônicas, fotos de câmeras de dispositivos, localização do dispositivo e listas de contatos.
O PlainGnome atua como um dropper para uma carga de vigilância, armazenada dentro do pacote dropper, enquanto o BoneSpy é implantado como um aplicativo independente.
Pesquisadores do Lookout Threat Lab descobriram duas famílias de vigilância Android chamadas BoneSpy e PlainGnome. Ambas são atribuídas ao grupo de ameaças de espionagem cibernética alinhado à Rússia Gamaredon (também conhecido como Primitive Bear, Shuckworm). Este grupo foi identificado como um componente do Serviço Federal de Segurança Russo (FSB) pelo Serviço de Segurança da Ucrânia (SSU) em 2021. Estas são as primeiras famílias móveis conhecidas a serem atribuídas ao Gamaredon.
BoneSpy e PlainGnome parecem ter como alvo vítimas de língua russa em toda a antiga União Soviética em países como Uzbequistão, Cazaquistão, Tajiquistão e Quirguistão. Embora o Gamaredon tenha historicamente como alvo a Ucrânia, o alvo de países da Ásia Central como o Uzbequistão provavelmente resultou do agravamento das relações entre esses países e a Rússia desde o início da invasão russa da Ucrânia em 2022. Além disso, embora alvos específicos sejam difíceis de identificar, os pesquisadores da Lookout descobriram uma indicação de possível alvo empresarial usando a família BoneSpy no início de 2022. Embora o grupo de ameaças Gamaredon seja conhecido há muito tempo por ter como alvo a Ucrânia, a Lookout não tem evidências específicas para mostrar que o BoneSpy ou o PlainGnome foram usados contra vítimas ucranianas.
Atribuição a Gamaredon
Os pesquisadores do Lookout atribuem BoneSpy e PlainGnome ao Gamaredon com base no uso de endereços IP que apontam para domínios de comando e controle (C2) para ambas as famílias móveis que também foram observadas nas campanhas de desktop do Gamaredon. Também observamos um grande número de domínios compartilhando a convenção de nomenclatura de domínio conhecida do Gamaredon descrita pelo MSTIC em abril de 2023, que foram hospedados em infraestrutura IP compartilhada com domínios DNS C2 dinâmicos em uso com o software de vigilância móvel do grupo. Além disso, o Gamaredon é conhecido por usar ddns[.]net e outros provedores de DNS dinâmicos desde pelo menos 2017, uma técnica consistente usada pelo BoneSpy e PlainGnome.
Essas conexões de infraestrutura, juntamente com as evidências do desenvolvimento russo e do direcionamento de grupos de língua russa em antigos estados soviéticos, nos levam à conclusão de que tanto o BoneSpy quanto o PlainGnome são operados pela Gamaredon.
Análise de famílias de aplicativos
O Lookout rastreia o BoneSpy desde dezembro de 2021 e descobriu o PlainGnome em janeiro de 2024. O BoneSpy é derivado do DroidWatcher de código aberto russo , um aplicativo de vigilância desenvolvido entre 2013 e 2014. Por outro lado, o PlainGnome não é baseado em código aberto, mas compartilha temas semelhantes e propriedades de servidor C2 com o BoneSpy. O PlainGnome também é uma implantação de dois estágios, enquanto o BoneSpy é um aplicativo único independente. Cada um deles tem amplos recursos de vigilância, incluindo:
Tentando obter acesso root ao dispositivo
Verificações anti-análise
Rastreamento de localização
Obtendo informações sobre o dispositivo
Obtendo dados confidenciais do usuário, como: algum texto
Mensagens SMS
áudio ambiente e gravações de chamadas
notificações
histórico do navegador
contatos
registros de chamadas
fotos da câmera
capturas de tela
informações do provedor de serviços de celular
Os aplicativos de ambas as famílias têm propriedades que tornam a engenharia social direcionada o método provável de distribuição. Até onde sabemos, nenhum aplicativo pertencente a nenhuma dessas famílias de malware estava disponível no Google Play.
Análise detalhada: BoneSpy
A família BoneSpy mostrou evidências de desenvolvimento contínuo entre janeiro e outubro de 2022, aproximadamente, após o qual amostras começaram a usar temas de isca consistentes e estrutura de código. Amostras anteriores entre janeiro e setembro de 2022 usaram uma variedade de aplicativos trojanizados, como aplicativos de monitoramento de carga de bateria, aplicativos de galeria de fotos, um aplicativo falso Samsung Knox e aplicativos trojanizados do Telegram. Mais tarde, o Gamaredon mudou amplamente para usar amostras trojanizadas e totalmente funcionais do Telegram intituladas como versões "Beta".
Os primeiros exemplos apresentavam um alto grau de experimentação de recursos, com capacidades principais para coletar o registro de chamadas, sistema de arquivos, lista de contatos, mensagens SMS e e-mails, enquanto outros exemplos incluíam funcionalidade de gravação de áudio. Dois primeiros exemplos usavam RTMP (Real-Time Messaging Protocol), um protocolo de streaming de código aberto, para comando e controle. Outros ainda verificavam o acesso root tentando gravar a string “ZZZ” em um caminho de arquivo acessível somente com privilégios elevados.
5bf384e687da92562fcbabac390a88110ddb2755 grava a string “ZZZ” em um arquivo de texto se puder obter privilégios de superusuário.
Os recursos de vigilância do BoneSpy se estabilizaram no final de 2022, junto com o uso quase exclusivo de amostras trojanizadas do Telegram. As amostras do BoneSpy observadas este ano tinham os seguintes recursos de vigilância:
Histórico do navegador
Mensagens SMS incluindo o destinatário, corpo e data e hora, da caixa de entrada e mensagens enviadas
Localização do dispositivo a partir de GPS e informações de celular
Listas de contato incluindo nome, número de telefone e endereço de e-mail
Registros de chamadas, como número de telefone, data, nome, duração e tipo de chamada
Informações do sistema de arquivos
Lista de todos os aplicativos instalados
Tirando fotos das câmeras do dispositivo
Gravação de chamadas telefônicas
Conteúdo de notificação
Conteúdo da área de transferência
Capturas de tela do dispositivo por abuso de projeção de mídia
Informações do dispositivo, como IMEI, cartões SIM, informações da operadora
Verificando privilégios de root
Uma capacidade notável do BoneSpy é sua habilidade de ser controlado via mensagens SMS. Para a extensa lista de comandos que o aplicativo de vigilância pode receber via SMS, veja o Apêndice B.
O BoneSpy é baseado no software de vigilância de código aberto DroidWatcher, desenvolvido na Rússia, apresentando código, nomes e mensagens de log quase idênticos em várias classes relacionadas ao manuseio de bancos de dados contendo dados exfil coletados, como registros de chamadas, rastreamento de localização, mensagens SMS, notificações e favoritos do navegador. Os nomes de classe para muitos pontos de entrada (receptores, atividades e serviços) eram os mesmos ou muito semelhantes aos DroidWatcher Samples.
Diferentemente do BoneSpy, o PlainGnome não compartilha pontos de entrada similares. Embora a maioria de suas capacidades de vigilância sejam similares, ele parece ter sido desenvolvido sem uso extensivo do código de outra ferramenta de vigilância conhecida.
Análise detalhada: PlainGnome
O PlainGnome consiste em uma implantação de dois estágios em que um primeiro estágio mínimo descarta um APK malicioso assim que ele é instalado. Enquanto o primeiro e o segundo estágios usam alguma variação no nome do pacote do Telegram, a funcionalidade real apresentada ao usuário é essencialmente a mesma observada em amostras anteriores do BoneSpy usando o tema “galeria de imagens”. Esse tema de isca continuou durante a maior parte da implantação do PlainGnome ao longo de 2024.
Como ele deve instalar um APK (ou seja, a carga útil de vigilância), o primeiro estágio depende da permissão REQUEST_INSTALL_PACKAGES. Além dessa permissão menos comum, o primeiro estágio solicita poucas permissões e é leve em termos de código, embora contenha notavelmente algumas verificações básicas do emulador. A vítima inicia a instalação do segundo estágio pressionando o único botão disponível na tela inicial do primeiro estágio, que tem a palavra russa “каталог” (que significa catálogo, listagem ou diretório).
Tela inicial do aplicativo do primeiro estágio com o botão “каталог”.
A carga útil
O código do payload do segundo estágio do PlainGnome evoluiu significativamente de janeiro de 2024 até pelo menos outubro. Em particular, os desenvolvedores do PlainGnome mudaram para usar classes Jetpack WorkManager para lidar com exfiltração de dados, o que facilita o desenvolvimento e a manutenção de código relacionado. Além disso, o WorkManager permite especificar condições de execução. Por exemplo, o PlainGnome só exfiltra dados de dispositivos vítimas quando o dispositivo entra em um estado ocioso. Esse mecanismo provavelmente tem como objetivo reduzir a chance de uma vítima perceber a presença do PlainGnome em seu dispositivo.
Ao contrário do primeiro estágio minimalista (instalador), o segundo estágio realiza toda a funcionalidade de vigilância e depende de 38 permissões. Os desenvolvedores do PlainGnome não fizeram nenhum esforço para ofuscar o código e tomaram medidas muito básicas para dificultar a análise. O PlainGnome suporta um total de 19 comandos, incluindo a funcionalidade para coletar
Mensagens SMS,
contatos,
Localização GPS,
áudio ambiente,
chamada de áudio,
tirar fotos.
Uma lista detalhada de comandos está no Apêndice C.
Uma vez iniciada, a carga útil solicita a aprovação de permissões do usuário até obter acesso a um conjunto mínimo de permissões:
LEIA_SMS
LEITURA_REGISTRO_DE_CHAMADAS
LEIA_CONTATOS
CÂMERA
Notavelmente, o PlainGnome tem dois modos de gravação de áudio ambiente - um que para a gravação automaticamente quando a tela do dispositivo é ativada e um que permite a gravação independentemente do estado da tela. Isso provavelmente ocorre porque as versões mais recentes do Android exibem um ícone de microfone na barra de status quando o microfone está ativo, o que pode ajudar a vítima da vigilância a descobrir o malware.
Infraestrutura
Com exceção de algumas amostras iniciais, a maioria das amostras BoneSpy e PlainGnome usam o serviço No-IP Dynamic DNS com o domínio ddns[.]net para hospedagem de domínio C2. O Gamaredon é conhecido por usar ddns[.]net para infraestrutura C2 desde pelo menos 2019. O Gamaredon emprega conjuntos mutuamente exclusivos de domínios C2 para as famílias BoneSpy e PlainGnome.
De acordo com a Pesquisa da Palo Alto Unit42 , Silent Push , Check Point e MSTIC , a Gamaredon usa infraestrutura de IP de rotação rápida com registros DNS A curinga e outras tecnologias de DNS dinâmico (incluindo ddns[.]net) em várias campanhas de desktop. Esses domínios usam nomes aleatórios de listas de palavras e seguem uma convenção de nomenclatura típica de <subdomínio><número de 2 dígitos>[.]<domínio apex>[.]ru, (por exemplo, count56[.]vasifgo[.]ru) em que um domínio apex pode ter várias dezenas ou centenas de subdomínios. O domínio llkeyvost.ddns[.]net, usado pelo PlainGnome, compartilha um endereço IP de resolução de 89.185.84[.]81 com vários domínios que correspondem à convenção de nomenclatura para a infraestrutura C2 de desktop recente da Gamaredon. Vários de seus endereços IP de resolução também resolvem vários subdomínios ddns[.]net.
O instantâneo de registros DNS passivos para 89.185.84[.]81 do VirusTotal mostra a resolução de vários subdomínios C2 de desktop Gamaredon, como count56[.]vasifgo[.]ru e clap3[.]vasifgo[.]ru, juntamente com o PlainGnome C2 likeyvhost[.]ddns[.]net
A maior parte do espaço de endereço IP de resolução associado aos domínios BoneSpy e PlainGnome C2 era de propriedade do ISP russo Global Internet Solutions LLC (em russo: ООО Глобал Интернет Решения), incorporado em Sevastopol, Ucrânia , dentro da Crimeia ocupada. Este ISP está geograficamente co-localizado com a localização física dos operadores da Gamaredon, que estão trabalhando em uma filial do FSB em Sevastopol, de acordo com a SSU. O Centro Nacional de Coordenação de Segurança Cibernética da Ucrânia relatou que a Gamaredon usa principalmente a Global Internet Solutions.
Os registros Whois para 89.185.84[.]81, 81.19.140[.]71, 89.185.84[.]46 e 212.192.14[.]34 mostram o registrante Global Internet Solutions LLC, localizado em Sevastopol, Crimeia, bem como Perm, Rússia. Sevastopol é o local de registrante comum para todos os endereços IP de resolução BoneSpy e PlainGnome C2.
Vários domínios BoneSpy e PlainGnome C2 foram hospedados no provedor alternativo à prova de balas Global Connectivity Solutions (GCS, sistema autônomo número 215540), com a infraestrutura de IP deste último geolocalizada na Grã-Bretanha. A Global Connectivity Solutions, LLP, é incorporada no Reino Unido e de propriedade de Yevgeniy Valentinovich Marinko , um cidadão russo. Marinko também é dono e diretor geral da Global Internet Solutions, LLC. Marinko , conhecido pelos pseudônimos Rustam Yangirov ou dimetr50, opera em fóruns de hackers e realiza negociações de credenciais roubadas desde pelo menos 2018. Além disso, Marinko foi multado por um tribunal de Sebastopol por fraudar uma vítima russa usando malware no final de 2023.
Uma exceção notável é o IP 34.98.99[.]30 (de propriedade do Google Cloud), que resolveu o domínio C2 goos[.]pw.
O Apêndice D detalha sobreposições de infraestrutura conhecidas entre os domínios C2 apex do desktop Gamaredon e os domínios C2 das duas famílias móveis discutidas neste artigo.
Vítimas
Talvez o exemplo mais direcionado do BoneSpy, que tem o título “KnoxSystemManager”, tenta se disfarçar como Samsung Knox Manage, projetado para habilitar o gerenciamento de mobilidade empresarial em dispositivos Samsung. Como o Knox Manage é um serviço empresarial, este exemplo sugere que o BoneSpy pode ter sido implantado contra vítimas empresariais direcionadas, com o invasor se passando por um administrador interno de TI.
O exemplo do KnoxSystemManager BoneSpy (à esquerda) apresenta uma atividade extremamente básica com opções “Instalar” e “Sair”; o Samsung Knox Manage real (à direita) apresenta funcionalidade EMM completa.
Embora não seja um indicador direto da geografia de implantação, os envios do VirusTotal de amostras conhecidas do BoneSpy e do PlainGnome indicam alvos em antigos estados soviéticos, como Uzbequistão, Quirguistão e Tajiquistão. Embora o Gamaredon tenha historicamente como alvo a Ucrânia desde pelo menos 2013, o Lookout não tem evidências diretas de tal alvo nas campanhas móveis do Gamaredon, embora a possibilidade de alvos ucranianos permaneça provável devido ao longo histórico do Gamaredon de atacar alvos ucranianos.
VIrusTotal de envios da web por país para BoneSpy e PlainGnome, todos os tempos
Indicadores adicionais de segmentação estão presentes no uso de iscas de aplicativos - particularmente o Telegram - e nomes de arquivos e strings promocionais em russo, como aqueles encontrados na amostra do BoneSpy cd6ee49b224ccb169d5d7f1b85c476cfc253540f. O ator mais tarde aparentemente se afastou dos nomes de arquivos APK em russo. O uso consistente de amostras trojanizadas do Telegram indica segmentação do leste europeu até certo ponto, já que o aplicativo é muito popular naquela região. A tabela abaixo mostra algumas amostras iniciais do BoneSpy que foram enviadas ao VirusTotal com nomes de arquivos em russo.
Nomes de arquivos em russo encontrados em algumas amostras iniciais do BoneSpy de 2022.
Conclusão
Pesquisadores da Lookout descobriram duas novas ferramentas de vigilância móvel chamadas BoneSpy e PlainGnome. Atribuímos isso ao grupo russo APT Gamaredon (Primitive Bear, Shuckworm) associado ao Serviço Federal de Segurança (FSB). Tanto o BoneSpy quanto o PlainGnome focam em vítimas de língua russa em antigos estados soviéticos. O BoneSpy está em uso desde pelo menos 2021 e é baseado no software de vigilância de código aberto DroidWatcher. Embora o PlainGnome, que surgiu pela primeira vez este ano, tenha muitas sobreposições de funcionalidade com o BoneSpy, ele não parece ter sido desenvolvido a partir da mesma base de código.
Comandos suportados pelo PlainGnome. Note que os dois últimos comandos aparecem apenas em amostras posteriores.
Apêndice D - Sobreposição de infraestrutura
A tabela abaixo detalha sobreposições entre domínios apex C2 desktop Gamaredon conhecidos, incluindo o uso de ddns[.]net para desktop C2 e domínios C2 ddns[.]net móveis. Uma convenção de nomenclatura aparente prevalente em nomes de domínio C2 móveis Gamaredon é o uso de duas palavras aleatórias, como fiordmoss.ddns[.]net. Domínios mais recentes, como llkeyvost.ddns[.]net ou wwkravs.ddns[.]net, refletem uma mudança de palavras pareadas para um padrão mais abstrato e talvez mais aleatório de nomes de domínio.
A tabela ilustra que o uso do espaço de endereço IP comum aos servidores C2 para ferramentas móveis e de desktop pelo Gamaredon é inconsistente e se torna mais prevalente com os domínios associados às amostras mais recentes do BoneSpy, bem como ao PlainGnome.
Autores
Kyle Schmittle
Pesquisador Sênior de Inteligência de Segurança
Kyle Schmittle é um pesquisador de segurança com foco principal em descoberta e atribuição de ameaças móveis. Como parte da equipe de Threat Intelligence da Lookout, ele trabalha para descobrir e rastrear agentes de ameaças e seus alvos, e fornecer pesquisas e relatórios precisos sobre esses problemas. Kyle tem mais de 15 anos de experiência em rastreamento e relatórios sobre agentes de ameaças cibernéticas e outros problemas, tanto na comunidade de inteligência quanto, mais recentemente, na Lookout.
Paulo Shunk
Pesquisador de inteligência de segurança da equipe
Paul é um pesquisador de segurança com foco principal em engenharia reversa de malware móvel. Antes da Lookout, ele trabalhou em um centro de operações de segurança, primeiro como analista de inteligência de ameaças cibernéticas e depois em investigações de segurança. Paul se formou Bacharel em Ciências da Informação Aplicadas (Segurança de Sistemas de Informação) pelo Sheridan College em 2015.
.png)
Comentários
Postar um comentário