Российские агенты запустили шпионскую операцию, используя известную программу AlpineQuest
По словам экспертов из компании «Доктор Веб», стало известно о новой волне кибершпионства, нацеленной на мобильные устройства военнослужащих России. Вредоносный софт, известный как Android.Spy.1292.origin, был внедрён в одну из устаревших версий популярного у военных топографического приложения AlpineQuest. Распространение этого вредоносного программного обеспечения осуществлялось через фальшивый телеграм-канал, созданный в октябре 2024 года. После загрузки приложение выглядит и работает как оригинал, что делает его сложным для распознавания.
С помощью этого трояна злоумышленники получают доступ к личным данным, включая учетные записи, номера телефонов, контакты из телефонной книги, текущую геолокацию и информацию о файлах, хранящихся на устройстве. Собиранные данные передаются на командный сервер, а также частично отправляются в телеграм-бот, который отслеживает каждое изменение местоположения.
«Получив список доступных файлов, злоумышленники могут приказать трояну загрузить и запустить дополнительные модули, позволяя ему красть важные документы. Анализ программного обеспечения показывает, что создатели шпионского софта особенно заинтересованы в конфиденциальных данных, которые пользователи передают через мессенджеры Telegram и WhatsApp, а также в журнале местоположений, который создаёт само приложение AlpineQuest.
Следовательно, Android.Spy.1292.origin не только отслеживает местоположение своих жертв, но и похищает секретные файлы. Его возможности можно расширять за счёт загрузки новых модулей, что открывает дорогу для еще более широких атак.
Такое использование специализированных приложений как маски для вирусов — не редкость. Власти Украины ранее сообщали о подобных атаках, замаскированных под инструменты ситуационной осведомленности «Крапива» и «Дельта». А в прошлом октябре, через фальшивый чат-бот службы поддержки приложения «Резерв+», разработанного украинским Минобороны, был распространён MeduzaStealer.
