VD:Розвідка Ворога | Российских военных атакуют через AlpineQuest со встроенным трояномСпец...

Российских военных атакуют через AlpineQuest со встроенным трояномСпециалисты компании «Доктор Веб» обнаружили шпионскую кампанию, нацеленную на Android-устройства российских военнослужащих. Атакующие встроили троян Android.Spy.1292.origin в одну из старых версий AlpineQuest, популярной у военных топографической программы. Вредоносное приложение распространялось через поддельный телеграм-канал, созданный в октябре 2024 года. После установки оно выглядит и функционирует как оригинальная программа, благодаря чему дольше остаётся незаметным.С помощью трояна злоумышленники получают с заражённого устройства пользовательские данные включая учетные записи, номер телефона, контакты из телефонной книги, текущую геолокацию, сведения о хранящихся файлах. Данные передаются на командный сервер, а также частично в телеграм-бот, куда сообщается о каждой смене местоположения устройства. Вредонос позволяет злоумышленникам скачивать с телефона интересующие файлы и загружать на него дополнительные модули:«Получив информацию о доступных файлах, злоумышленники могут дать трояну команду загрузить и запустить вспомогательные модули, с помощью которых тот сможет похищать нужные файлы. Проведенный анализ показал, что создателей шпиона в частности интересуют конфиденциальные документы, которые пользователи передают через мессенджеры Telegram и WhatsApp, а также файл журнала локаций locLog, создаваемый непосредственно программой Alpine Quest.Таким образом, Android.Spy.1292.origin не только позволяет следить за местоположением пользователей, но и похищать конфиденциальные файлы. При этом его функциональность может быть расширена через загрузку новых модулей, в результате чего он сможет выполнять более широкий спектр вредоносных действий».Подобное использование военных и других специализированных приложений в качестве прикрытия для распространения вредоносов не редкость. Украинские власти сообщали об атаках, замаскированных под средства ситуационной осведомлённости «Крапива» и «Дельта». А в октябре прошлого года через поддельный чатбот службы поддержки приложения «Резерв+», созданного украинским Минобороны для призывников и резервистов, распространялся MeduzaStealer.