Cercetătorii în domeniul securității cibernetice au dezvăluit că personalul militar rus este ținta unei noi campanii care distribuie programe spion Android sub masca unui software de cartografiere.
Un nou malware Android a fost descoperit ascuns în versiunile troiene ale aplicației de cartografiere Alpine Quest, care este folosită de soldații ruși ca parte a planificării operaționale a zonei de război a anunțat Bleepingcomputer.
Atacatorii promovează aplicația troianizată ca o versiune gratuită, spartă a Alpine Quest Pro premium, folosind canale Telegram și cataloage de aplicații rusești pentru distribuție.
AlpineQuest este o aplicație de cartografiere topografică și GPS legitimă pentru Android, utilizată de aventurieri, sportivi, echipe de căutare și salvare și personal militar, apreciată pentru capacitățile și precizia sa offline.
Aplicația are două versiuni: o versiune Lite gratuită cu funcții limitate și o versiune Pro plătită, care nu conține biblioteci de urmărire, analize și reclame.
Programul spion, care a fost descoperit de cercetătorii de la compania rusă de antivirus mobil Doctor Web, se ascunde în interiorul unei aplicații Alpine Quest care funcționează complet, reducând suspiciunea și creând oportunități valoroase de furt de date.
Odată lansat, încearcă să fure date de comunicare și documente sensibile de pe dispozitiv, dezvăluind posibil detalii despre operațiunile armatei. Mai exact, programul spyware efectuează următoarele acțiuni:
- Trimite atacatorilor numărul de telefon, contactele, localizarea geografică, informațiile despre fișier și versiunea aplicației utilizatorului.
- Monitorizează schimbările de locație în timp real și trimite actualizări unui bot Telegram.
- Descarcă module suplimentare pentru a fura fișiere confidențiale, în special cele trimise prin Telegram și WhatsApp.
- Caută fișierul „locLog” de la Alpine Quest, care conține jurnalele istoricului locațiilor.
Doctor Web urmărește programul spyware nedocumentat anterior ca „Android.Spy. 1292.origin’ dar nu a făcut nici o referință cu privire la originea sa în raportul său.
Organizații rusești vizate de o noua vulnerabilitate backdoor din Windows
Dezvăluirea vine în momentul în care Kaspersky a dezvăluit că diverse organizații mari din Rusia, care acoperă sectoarele guvernamentale, financiare și industriale, au fost vizate de o vulnerabilitate sofisticată, mascată ca o actualizare pentru un software de rețea securizat numit ViPNet.
„Vulnerabilitatea vizează computerele conectate la rețele ViPNet”, a spus compania într-un raport preliminar. „Vulnerabilitatea backdoor a fost distribuită în arhivele LZH cu o structură tipică actualizărilor pentru produsul software în cauză”.
În arhivă este prezent un executabil rău intenționat („msinfo32.exe”) care acționează ca un încărcător pentru o pachete criptate, de asemenea, incluse în fișier.
„Încărcătorul procesează conținutul fișierului pentru a încărca vulnerabilitatea în memorie”, a spus Kaspersky. Această vulnerabilitate backdoor este versatilă: se poate conecta la un server C2 prin TCP, permițând atacatorului să fure fișiere de pe computerele infectate și să lanseze componente suplimentare rău intenționate, printre altele.”
Întorcând armele
Tactica de a ținti soldații a fost asociată anterior cu operațiunile rusești de hacking, adesea legate de grupurile de amenințări sponsorizate de stat care colectau informații pentru armata rusă.
În decembrie 2022, hackerii care foloseau un cont de e-mail compromis al Ministerului Apărării ucrainean au încercat infecții ulterioare folosind DELTA, un sistem ucrainean de colectare și gestionare a informațiilor ca momeală.
În octombrie 2024, grupul rus de atacatori „UNC5812” a vizat recruții ucraineni cu programe malware Windows și Android prin intermediul unei agenții false numite „Apărare civilă”.
Mai recent, în februarie 2025, cercetătorii Google au dezvăluit că atacatori ruși membri din grupul APT44 au folosit coduri QR rău intenționate pentru a păcăli ținte să-și sincronizeze conturile Signal cu dispozitive neautorizate.
Descoperirea aplicației cu viruși troieni AlpineQuest arată că aceste atacuri ascunse sunt orchestrate de la ambele capete ale conflictului, deoarece colectarea informațiilor rămâne crucială pentru obținerea avantajului pe câmpul de luptă.
