/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fda5fbb2b31c3fd7eb9e9cc2cb0d279f6.jpg)
Российских военных в Украине атакует вирусное приложение: как страдают оккупанты
Новая вирусная программа следит за российскими военными в Украине и крадет ценные данные, маскируясь под полезное приложение.
Об этом подробно рассказали исследователи компании по кибербезопасности Dr.Web из РФ.
Вредоносный модуль называется Android.Spy.1292.origin, он скрыт внутри модифицированного приложения Alpine Quest, отображающего топографические карты в режимах онлайн и офлайн. Это ПО используют военнослужащие армии России, которые участвуют в боевых действиях на территории Украины — они и стали главной целью атаки.
Вирусное приложение распространяется на поддельном канале в мессенджере Telegram, который создали для имитации официально ресурса разработчиков Alpine Quest. Сначала там разместили ссылку на загрузку программы в неофициальном каталоге приложений для Android, а потом ПО отдельно опубликовали в канале под видом обновления. Главное преимущество, побуждающее пользователей скачивать троянизированную программу, в том, что оно предоставляет бесплатную версию Alpine Quest Pro, которая обычно доступна только по платной подписке.
Как уточнили в Dr.Web, Android.Spy.1292.origin встроен в копию реального приложения, он выглядит и работает как оригинал, благодаря этому может незаметно вредить пользователям очень долгое время. Модульная конструкция приложения позволяет ему получать дополнительные обновления, которые еще больше расширяют возможности.
При каждом запуске вирус собирает и отправляет на сервер такие данные:
номер мобильного телефона пользователя и его счета;
контакты из телефонной книги;
текущую дату;
текущую геолокацию;
информацию о файлах, хранящихся на устройстве;
версию приложения.
Если злоумышленники видят в списке интересные файлы, то могут с помощью обновления ПО запустить модуль, который их украдет. По данным исследователей, разработчики приложения особенно интересуются документами, которые военные отправляют через Telegram и WhatsApp. Они также проявляют интерес к файлу locLog, журналу местоположений, созданному Alpine Quest.
Dr.Web не указал, кто может стоять за созданием и распространением вредоносного приложения, нацеленного на россиян. Вполне возможно, это делают украинские спецлужбы, считает издание ArsTechnica.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F147e2c41-3fd7-4d9f-9857-4d05778ec630.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F3fcfc5a387d2fe9e6988e1948298f8ca.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F8aa518c7205a73222c7eb0ef98672611.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F2%2Fd4581cd11a9fe3ec6abe4e8a9352b6a4.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F26225d16604991e5f5f85cb46a8d8eb0.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F46%2Fdfbee235fded519c4344b9da73f45bdc.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F422%2F73d1afa446f4d8e1b1b894607387de52.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2Fe64c700575b697a6b3b930f40ad22a58.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F46%2Fa0c75506fed38b29e804ddfcca9995d7.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F422%2Fc8dd3cb6093cdec367ed9be5a26053cf.jpg)