Исследователи компании «Доктор Веб» обнаружили шпионскую программу Android.Spy.1292.origin, которая ориентирована на российских военнослужащих. Вредонос замаскирован под модифицированную версию картографической программы Alpine Quest и распространяется через один из российских каталогов приложений для Android.
Описание
Шпионская программа собирает и передает злоумышленникам различную информацию с зараженных устройств, включая контакты, геолокационные данные и информацию о сохраненных файлах. Кроме того, она способна загружать дополнительные модули для осуществления дальнейших вредоносных действий по команде атакующих.
Alpine Quest - популярное топографическое приложение, позволяющее пользователям получать доступ к картам в режиме онлайн и офлайн. Оно широко используется спортсменами, путешественниками и охотниками, но также завоевало популярность среди российских военнослужащих, что делает его привлекательной целью для данной кампании. Атакующие внедрили шпионскую программу Android.Spy.1292.origin в старую версию программы Alpine Quest, создав поддельный Telegram-канал, в котором была размещена ссылка для загрузки троянского варианта. Этот же троянец распространялся в виде «обновления» в самом канале.
Поскольку шпионская программа маскируется под легитимное приложение, она может оставаться незамеченной в течение длительного времени и осуществлять свою вредоносную деятельность. При каждом запуске троян собирает и передает на управляющий сервер различные данные, включая данные учетной записи пользователя, номера телефонов, контактную информацию, геолокацию и информацию о сохраненных файлах. Примечательно, что особый интерес для атакующих представляют конфиденциальные документы, отправленные через приложения для обмена сообщениями Telegram и WhatsApp, а также файл locLog, созданный программой Alpine Quest. Функционал шпионской программы может быть расширен за счет загрузки и запуска дополнительных модулей, что позволяет осуществлять более широкий спектр вредоносных действий.
