Gamaredon, noto gruppo di cyber spionaggio affiliato all’FSB russo, ha esteso le sue operazioni includendo dispositivi Android con due nuove famiglie di spyware: BoneSpy e PlainGnome. Questi strumenti rappresentano un’evoluzione nelle capacità di sorveglianza del gruppo, mirate principalmente a ex stati sovietici e con possibili implicazioni per imprese e sistemi militari.
BoneSpy e PlainGnome: caratteristiche e metodi di distribuzione

BoneSpy, derivato da DroidWatcher, un software di sorveglianza open-source, è stato osservato per la prima volta nel 2021. PlainGnome, identificato nel 2024, introduce un approccio in due fasi: un’app leggera installa un APK che avvia la sorveglianza. Entrambe le famiglie consentono:
- Registrazione di audio ambientale e telefonate
- Acquisizione di SMS, cronologia browser e contatti
- Tracciamento della posizione GPS
- Accesso a dati sensibili tramite permessi elevati
Gli strumenti utilizzano app trojanizzate, come versioni false di Telegram o app di gallerie fotografiche, per distribuire il malware.
Obiettivi e infrastruttura di Gamaredon
Le operazioni sono mirate a utenti di lingua russa in paesi come Uzbekistan, Kazakistan e Ucraina, con particolare attenzione a dati aziendali e personali. I domini C2 utilizzano spesso infrastrutture DNS dinamiche, una tattica consolidata del gruppo.
Il malware è progettato per essere difficile da rilevare, con funzionalità come registrazioni audio che si interrompono automaticamente quando il dispositivo è in uso, riducendo i rischi di scoperta.
Implicazioni delle attività di Gamaredon e strategie di mitigazione
L’evoluzione delle capacità di Gamaredon nel segmento mobile rappresenta una minaccia significativa per la sicurezza informatica, in particolare per i paesi dell’ex Unione Sovietica. L’uso di spyware come BoneSpy e PlainGnome evidenzia la determinazione del gruppo a raccogliere informazioni critiche e destabilizzare infrastrutture chiave.
Le aziende e gli utenti, secondo Lookout autore dell’analisi, devono adottare misure preventive, come l’installazione di soluzioni di sicurezza avanzate e la verifica delle app prima del download. Inoltre, le agenzie di cybersecurity devono collaborare a livello internazionale per individuare e neutralizzare le infrastrutture C2 utilizzate da Gamaredon.
Le nuove famiglie di spyware BoneSpy e PlainGnome confermano l’espansione delle operazioni di Gamaredon nel segmento Android. Queste minacce richiedono una risposta coordinata per mitigare i rischi e proteggere dati sensibili.