O grupo de hackers Gamaredon, vinculado ao Serviço Federal de Segurança da Rússia (FSB), foi identificado utilizando duas novas ferramentas de spyware para Android chamadas BoneSpy e PlainGnome. Essa é a primeira vez que o grupo, também conhecido como Aqua Blizzard, Trident Ursa e Shuckworm, é associado exclusivamente a malware móvel em suas campanhas de ataque. Ambos os spywares têm como alvo países da antiga União Soviética, com foco em vítimas falantes de russo.

As ferramentas coletam uma ampla gama de dados dos dispositivos infectados, como mensagens SMS, registros de chamadas, áudios de conversas telefônicas, fotos, localização e listas de contatos. O BoneSpy, operacional desde pelo menos 2021, é baseado no código-fonte aberto do spyware DroidWatcher e funciona como um aplicativo autônomo. Já o PlainGnome, que surgiu em 2024, age como um dropper para um payload de vigilância embutido, exigindo que a vítima conceda permissão para instalar outros aplicativos via REQUEST_INSTALL_PACKAGES.

Os ataques, segundo análise da Lookout, parecem estar direcionados a países como Uzbequistão, Cazaquistão, Tajiquistão e Quirguistão, regiões que têm apresentado relações tensas com a Rússia desde a invasão da Ucrânia. No entanto, até agora não há indícios de que esses spywares tenham sido usados contra alvos ucranianos, tradicionalmente o foco principal do Gamaredon.

Acredita-se que os aplicativos maliciosos sejam distribuídos por meio de engenharia social, disfarçando-se como apps legítimos, como monitores de carga de bateria, galerias de fotos, um falso aplicativo Samsung Knox e até uma versão funcional, mas trojanizada, do Telegram. As ferramentas compartilham funcionalidades amplas, incluindo rastreamento de localização, coleta de histórico de navegação, gravações de áudio ambiente, capturas de tela e notificações. Elas também tentam obter acesso root para expandir o controle sobre os dispositivos comprometidos.