Ένα νέο κακόβουλο λογισμικό Android έχει ανακαλυφθεί κρυμμένο μέσα σε τρωτοποιημένες εκδόσεις της εφαρμογής χαρτογράφησης Alpine Quest, η οποία φέρεται να χρησιμοποιείται από Ρώσους στρατιώτες στο πλαίσιο του επιχειρησιακού σχεδιασμού της ζώνης πολέμου.
Οι επιτιθέμενοι προωθούν την Trojanized App ως μια ελεύθερη, ραγισμένη έκδοση του Premium Alpine Quest Pro, χρησιμοποιώντας κανάλια τηλεγράφων και ρωσικούς καταλόγους εφαρμογών για διανομή.
Το AlpineQuest είναι μια νόμιμη εφαρμογή GPS και τοπογραφίας για το Android που χρησιμοποιούνται από τυχοδιώκτες, αθλητές, ομάδες αναζήτησης και διάσωσης και στρατιωτικό προσωπικό, αξίας για τις δυνατότητες και την ακρίβειά του.
Η εφαρμογή έχει δύο εκδόσεις: δωρεάν Έκδοση Lite με περιορισμένα χαρακτηριστικά και πληρωμένο Επαγγελματική έκδοση Αυτό είναι απαλλαγμένο από την παρακολούθηση των βιβλιοθηκών, των αναλυτικών στοιχείων και των διαφημίσεων.
Το spyware, το οποίο ανακαλύφθηκε από ερευνητές της ρωσικής κινητής εταιρείας προστασίας από ιούς Γιατρόςκρύβεται μέσα σε μια πλήρως εργασιακή εφαρμογή Alpine Quest, μειώνοντας την υποψία και δημιουργώντας πολύτιμες ευκαιρίες κλοπής δεδομένων.
Μόλις ξεκινήσει, επιχειρεί να κλέψει δεδομένα επικοινωνίας και ευαίσθητα έγγραφα από τη συσκευή, ενδεχομένως αποκαλύπτοντας λεπτομέρειες σχετικά με τις στρατιωτικές επιχειρήσεις. Συγκεκριμένα, το spyware εκτελεί τις ακόλουθες ενέργειες:
- Στέλνει τον αριθμό τηλεφώνου του χρήστη, τις επαφές, τη γεωγραφική θέση, τις πληροφορίες αρχείου και την έκδοση εφαρμογής σε επιτιθέμενους.
- Παρακολουθεί τις αλλαγές τοποθεσίας σε πραγματικό χρόνο και στέλνει ενημερώσεις σε ένα τηλεγράφημα BOT.
- Λήψη πρόσθετων μονάδων για να κλέψει εμπιστευτικά αρχεία, ειδικά εκείνα που αποστέλλονται μέσω τηλεγράφου και WhatsApp.
- Επιδιώκει το αρχείο “loclog” από την Alpine Quest, το οποίο περιέχει αρχεία καταγραφής ιστορικού τοποθεσίας.
Ο Doctor Web παρακολουθεί το προηγουμένως χωρίς χαρτιά spyware ως ‘Android.spy. 1292., αλλά δεν έκανε καμία αποδόσεις σχετικά με την προέλευσή της στην έκθεσή της. Οι δείκτες συμβιβασμού είναι διαθέσιμο εδώ.
Πηγή: γιατρός ιστού
Στρέφοντας τα τραπέζια
Η τακτική της στόχευσης των στρατιωτών συσχετίστηκε προηγουμένως με ρωσικές επιχειρήσεις πειρατείας, που συχνά συνδέονται με ομάδες απειλών που χρηματοδοτούνται από το κράτος που συλλέγουν πληροφορίες για το ρωσικό στρατό.
Τον Δεκέμβριο του 2022, οι χάκερ που χρησιμοποιούν ένα συμβιβασμένο λογαριασμό ηλεκτρονικού ταχυδρομείου του Υπουργείου Άμυνας της Ουκρανίας προσπάθησαν να μεταφέρουν τις μεταγενέστερες λοιμώξεις χρησιμοποιώντας το Delta, ένα σύστημα συλλογής και διαχείρισης της Ουκρανίας ως δόλωμα.
Τον Οκτώβριο του 2024, η ρωσική ομάδα απειλών «UNC5812» στοχεύει τους ουκρανούς στρατολογίες με παράθυρα και κακόβουλο λογισμικό Android μέσω μιας ψεύτικης υπηρεσίας που ονομάζεται «Πολιτική Άμυνα».
Πιο πρόσφατα, τον Φεβρουάριο του 2025, οι ερευνητές της Google αποκάλυψαν ότι οι ρωσικοί ηθοποιοί απειλής της ομάδας APT44 χρησιμοποίησαν κακόβουλους κωδικούς QR για να εξαπατήσουν τους στόχους για να συγχρονίσουν τους λογαριασμούς σήματος με μη εξουσιοδοτημένες συσκευές.
Η ανακάλυψη της εφαρμογής Trojanized AlpineQuest δείχνει ότι αυτές οι ύπουλες επιθέσεις ενορχηστρώνεται και από τις δύο άκρες της σύγκρουσης, καθώς η συλλογή πληροφοριών παραμένει ζωτικής σημασίας για την απόκτηση πλεονεκτήματος του Battlefield.
VIA: bleepingcomputer.com
