Experti v oblasti kybernetické bezpečnosti odhalili, že ruští vojenští pracovníci jsou cílem nové kampaně, která šíří špionážní software pro Android pod záminkou mapovacího softwaru Alpine Quest.

„Útočníci skrývají tento trojský kůň uvnitř upraveného mapovacího softwaru Alpine Quest a distribuují jej různými způsoby, včetně jednoho z ruských katalogů aplikací pro Android,“ uvedla společnost Doctor Web ve své analýze.

Trojský kůň byl nalezen v starších verzích softwaru a šířen jako volně dostupná varianta Alpine Quest Pro, placené verze, která odstraňuje reklamy a analytické funkce.

Ruský dodavatel kybernetické bezpečnosti také zaznamenal, že malware, pojmenovaný Android.Spy.1292.origin, byl distribuován ve formě souboru APK prostřednictvím falešného kanálu na Telegramu.

Zatímco útočníci zpočátku poskytovali odkaz ke stažení aplikace v jednom z ruských katalogů aplikací přes kanál Telegram, později byla trojanizovaná verze distribuována přímo jako APK jako aktualizace aplikace.

Co činí tuto útočnou kampaň pozoruhodnou, je skutečnost, že zneužívá faktu, že Alpine Quest používají ruští vojenští pracovníci v zóně Speciální vojenské operace.

Po instalaci na zařízení s Androidem se aplikace s malwarem tváří a funguje stejně jako originál, což jí umožňuje zůstat dlouho neodhalena, zatímco sbírá citlivá data:

– Mobilní telefonní číslo a jejich účty

– Seznamy kontaktů

– Aktuální datum a geolokace

– Informace o uložených souborech

– Verze aplikace

Kromě odesílání polohy oběti při každé změně na Telegram bota podporuje spyware možnost stahovat a spouštět další moduly, které mu umožňují exfiltrovat soubory, zejména ty, které byly odeslány přes Telegram a WhatsApp.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS