Nowy spyware na Androida. Jego celem jest... rosyjska armia
Złośliwe oprogramowanie podszywa się pod aplikację AlpineQuest, z której dość powszechnie korzysta rosyjska armia prowadząca ofensywę na Ukrainie.
Jak donosi serwis Hacker News, rosyjscy żołdacy stali się celem ataków wykorzystujących złośliwe oprogramowanie podszywające się pod androidową aplikację AlpineQuest. Po znalezieniu się na urządzeniu, malware jest w stanie uzyskać dostęp do szeregu wrażliwych informacji, wliczając w to pliki przesyłane za pośrednictwem Telegrama lub WhatsAppa.
Złośliwe oprogramowanie kontra rosyjska armia
AlpineQuest to aplikacja do nawigacji GPS, a rzeczony program powstał przede wszystkim z myślą o pasjonatach aktywnego wypoczynku oraz wszelkiej maści poszukiwaczy przygód. To, czy rosyjscy żołnierzy zaliczają się do tego grona, pozostaje kwestią dyskusyjną. Faktem jednak jest, że powszechnie wykorzystują oni AlpineQuest podczas trwającego konfliktu na Ukrainie. Hakerzy postanowili zaś wykorzystać ten stan rzeczy i udostępnili w sieci "darmową" wersję Pro apki, przy okazji wzbogaconą o podstępnego gościa.
Wedle doniesień portalu Dr.Web zainfekowana odsłona AlpineQuest trafiła do dystrybucji za pośrednictwem spreparowanego w odpowiedni sposób kanału na Telegramie, na którym cyberprzestępcy podszywali się pod producentów wspomnianego oprogramowania. Początkowo chętni na skorzystanie z okazji do bezpłatnego zaopatrzenia się w AlpineQuest Pro otrzymywali link do rosyjskiego sklepu z aplikacjami na Androida, acz później do obiegu trafił i sam plik APK, tym samym omijając pośredników.
Hakerzy osadzili Android.Spy.1292.origin w jednej ze starszych wersji aplikacji Alpine Quest i rozpowszechniali jej trojański wariant pod pozorem swobodnie dostępnej wersji Alpine Quest Pro, programu o zaawansowanej funkcjonalności. Stworzyli fałszywy kanał Telegram dla oprogramowania; kanał zawierał link do pobrania aplikacji w jednym z rosyjskich katalogów aplikacji. Ta sama wersja trojana, ukryta jako "aktualizacja" aplikacji, była później dystrybuowana za pośrednictwem tego samego kanału.
Jako że wirus, oznaczony jako Android.Spy.1292.origin, został osadzony bezpośrednio w normalnej aplikacji, mógł przez długi czas działać w ukryciu, unikając wykrycia i nie wzbudzając większych podejrzeń.
Uruchomienie zainfekowanego programu wiązało się również z odpaleniem kryjącego się w nim trojana, który bez zbędnego przeciągania zabierał się do pracy, tj. grzebania w danych znajdujących się na smartfonie i wybierania spośród nich co bardziej smakowicie wyglądających kąsków. Złośliwe oprogramowanie przesyłało na zewnętrzne serwery m.in. takie informacje jak numer telefonu, listę kontaktów, datę, dokładne położenie zarażonego sprzętu, zapisane na nim konta, wersję apki oraz dane nt. plików znajdujących się na urządzeniu. Wypada wspomnieć również o tym, że trojan wysyłał nowe dane geolokalizacyjne za każdym razem, gdy odnotowana została ich zmiana.
Z kolei cyberprzestępcy, którzy otrzymali od swojego tworu cynk na temat plików zapisanych na danym smartfonie, mogli wymusić pobranie i uruchomienie na wrażliwym urządzeniu dodatkowych modułów. Zabieg ten pozwalał na wykradnięcie interesujących dokumentów, pozostawiając przy tym ofiarę procederu w słodkiej niewiedzy.
Nie wiadomo, kto dokładnie stoi za stworzeniem Android.Spy.1292.origin, acz biorąc pod uwagę grupę docelową ataków, hakerom raczej nie zależy na pieniądzach.
