Картографічна пастка для окупантів: цей Android-шпигун краде дані у росіян

Медіа Ars Technica пише, що нове шпигунське програмне забезпечення Android краде дані росіян. Розповідаємо як виглядає шпигунське ПЗ.

Що сталося

Російських військовослужбовців атакує нещодавно виявлена шкідлива програма Android, яка краде їхні контакти та відстежує місцерозташування. Нове ПЗ приховано в модифікованому застосунку для картографічного програмного забезпечення Alpine Quest, яке використовують:

• мисливці;
• спортсмени;
• російські військові, дислоковані у зону бойових дій в Україні.

Застосунок відображає різні топографічні карти для використання онлайн і офлайн. Троянська програма Alpine Quest розміщена на спеціальному каналі Telegram і в неофіційних сховищах для Android. Основна перевага софту полягає в тому, що він надає безплатну версію Alpine Quest Pro, яка зазвичай доступна лише платним користувачам.

Чому це цікаво

Шкідливий модуль отримав назву Android.Spy.1292.origin. У дописі в блозі дослідники російської фірми безпеки Dr.Web написали, що оскільки ПЗ вбудовано в копію справжньої програми, вона виглядає та працює як оригінал, що дозволяє залишатися непоміченою та виконувати зловмисні завдання протягом довшого періоду часу. Щоразу під час запуску троян збирає та надсилає на C&C сервер такі дані:

• номер мобільного телефону користувача та його облікові записи;
• контакти з телефонної книги;
• поточну дату;
• поточну геолокацію;
• інформацію про файли, що зберігаються на пристрої;
• версію програми.

Якщо є файли, які цікавлять зловмисників, вони можуть оновити програму за допомогою модуля, який їх викрадає. Зловмисники Android.Spy.1292.origin зацікавлені в конфіденційних документах, які надсилаються через Telegram і WhatsApp. Вони також цікавляться файлом locLog, журналом розташування, створеним Alpine Quest. Модульна конструкція програми дає змогу отримувати додаткові оновлення, які ще більше розширюють її можливості.

Нагадаємо, що раніше Telegram заблокував канали рф з понад 1 млн підписників, а в Україні заблокували Telegram-канал «Джокер». Також Nadiyno.org — некомерційна гаряча лінія з цифрової безпеки для українців створила тест, де пропонує 10 реальних діалогів у Telegram, де гравцям потрібно вирішити, хто — шахрай, і кому можна довіряти. Цей тест — не просто розвага, а шанс навчитися уникати найпоширеніших онлайн-пасток. Всі сценарії для гри базуються як на досвіді спеціалістів з Nadiyno.org, так і на результатах дослідження методів злому Telegram-акаунтів.