Российские военнослужащие подвергаются атакам шпионской программы, маскирующейся под картографическое приложение

Шпионская программа собирает и передает злоумышленникам различную информацию с зараженных устройств, включая контакты, геолокационные данные и информацию о сохраненных файлах. Кроме того, она способна загружать дополнительные модули для осуществления дальнейших вредоносных действий по команде атакующих.

Alpine Quest - популярное топографическое приложение, позволяющее пользователям получать доступ к картам в режиме онлайн и офлайн. Оно широко используется спортсменами, путешественниками и охотниками, но также завоевало популярность среди российских военнослужащих, что делает его привлекательной целью для данной кампании. Атакующие внедрили шпионскую программу Android.Spy.1292.origin в старую версию программы Alpine Quest, создав поддельный Telegram-канал, в котором была размещена ссылка для загрузки троянского варианта. Этот же троянец распространялся в виде «обновления» в самом канале.

Поскольку шпионская программа маскируется под легитимное приложение, она может оставаться незамеченной в течение длительного времени и осуществлять свою вредоносную деятельность. При каждом запуске троян собирает и передает на управляющий сервер различные данные, включая данные учетной записи пользователя, номера телефонов, контактную информацию, геолокацию и информацию о сохраненных файлах. Примечательно, что особый интерес для атакующих представляют конфиденциальные документы, отправленные через приложения для обмена сообщениями Telegram и WhatsApp, а также файл locLog, созданный программой Alpine Quest. Функционал шпионской программы может быть расширен за счет загрузки и запуска дополнительных модулей, что позволяет осуществлять более широкий спектр вредоносных действий.

IPv4

• 77.73.69.118

URLs

• https://api.telegram.org/bot7833953061:AAHDhij-pl-soJ_Z5yeqGbHijN4ySdMig/
• https://detect-infohelp.com/parse/

SHA1

• ce71efb93cf4d79bf431d8edfbae7b8b7b55fe44