Исследователи компании «Доктор Веб» обнаружили новый вариант шпионской программы, известной как Android.Spy.1292.origin, которая разработана с целью слежки за российскими военнослужащими. Этот троянец маскируется под модифицированную версию популярного картографического приложения Alpine Quest, используемого спортсменами, путешественниками и, в частности, военными.
Методы распространения вредоносного ПО
Распространение Android.Spy.1292.origin осуществляется через следующие каналы:
- Российский каталог приложений для Android;
- Поддельный Telegram-канал, предлагающий улучшенную версию под названием Alpine Quest Pro.
Вредоносное ПО внедряется в более старую версию законного Alpine Quest, что затрудняет его обнаружение из-за имитации функциональности оригинального приложения.
Функции шпионского ПО
После установки этот троянец обладает способностью собирать следующие конфиденциальные данные:
- Контактные данные из телефонной книги;
- Геолокация;
- Информация о файлах, хранящихся на устройстве.
Собранные данные передаются на сервер управления злоумышленника, а часть информации дополнительно отправляется через Telegram-бота. Каждый раз при активации приложения происходит передача обновленных данных о геолокации, что позволяет злоумышленникам отслеживать перемещения пользователей в режиме реального времени.
Дополнительные угрозы
Кроме наблюдения, шпионское ПО может загружать дополнительные модули по команде своих операторов, что значительно увеличивает его возможности по краже файлов. В частности, оно нацелено на:
- Конфиденциальные документы;
- Файлы, обмениваемые через платформы, такие как Telegram и WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta);
- Файлы, созданные приложением Alpine Quest.
Модульная архитектура позволяет злоумышленникам адаптировать и расширять функции шпионского ПО, создавая постоянную угрозу по мере его развития.
Рекомендации для пользователей
Эксперты «Доктор Веб» призывают пользователей:
- Устанавливать приложения исключительно из проверенных источников, таких как официальные каталоги;
- Будьте осторожными при загрузке с платформ, таких как Telegram, или с ненадежных веб-сайтов;
- Обращайте внимание на попытки злоумышленников выдать себя за законных разработчиков с помощью аналогичного бренда.
Для защиты устройств Android от подобных угроз рекомендуется использовать антивирусные решения, такие как Security Space от компании «Доктор Веб». Этот продукт специально идентифицирует и нейтрализует Android.Spy.1292.origin, снижая риски для пользователей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новый шпионский троянец угрожает безопасности российских военных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.