Эксперты выявили новый инструмент слежки, нацеленный на мобильные Android-устройства, используемые российскими военными. Речь идёт о модифицированной версии навигационного приложения Alpine Quest, которую распространяют через мессенджер и российский каталог программ.
Эта подделка внешне ничем не отличается от оригинала, но в её недрах скрывается программа-шпион Android.Spy.1292.origin. Специалисты «Доктор Веб» обнаружили, что её код позволяет собирать и передавать операторам широкий спектр данных, начиная с координат пользователя и заканчивая файлами из личных чатов.
Исследование показало, что при активации приложение запрашивает множество разрешений, среди которых — доступ к памяти телефона. Получив нужные права, вредонос приступает к сбору информации: номера телефонов, контакты, сведения о текущем дне, версия программы и, что особенно важно, данные о местоположении устройства. Всё это загружается на удалённый сервер, а также пересылается в телеграм-бот, созданный злоумышленниками. Отправляемые координаты сохраняются в виде отдельных файлов, и как только один из них достигает объёма в 100 мегабайт, он автоматически удаляется, а сбор данных продолжается в новом.
Наибольший интерес у тех, кто управляет шпионским ПО, вызывают личные документы, особенно если они пересылаются через мессенджеры Telegram или WhatsApp. В том числе внимание обращено на внутренний лог-файл locLog, формируемый самим Alpine Quest. Для того чтобы получить доступ к подобным данным, вирус при необходимости может загрузить дополнительные модули — соответствующие команды отдаются удалённо.
Заражённая версия навигатора распространяется под видом бесплатного выпуска Alpine Quest Pro. Для этого в Telegram создан отдельный канал, где размещены ссылки на загрузку, а также выкладываются обновления и инструкции по установке. Судя по всему, мишенью вредоносной программы становятся пользователи, находящиеся в зоне боевых действий, и, как предполагается, среди них могут быть и российские военнослужащие.
Эксперты в области кибербезопасности рекомендуют с осторожностью подходить к установке программ из неофициальных источников, особенно если речь идёт о приложениях, способных фиксировать перемещения и сохранять карты. Загрузка сомнительных версий под предлогом «полного функционала без оплаты» может обернуться тотальной потерей контроля над собственным устройством.
Оригинал публикации на сайте CISOCLUB: "Шпионская программа маскируется под популярный навигатор и попадает в смартфоны военных через Telegram".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.