Поделиться
Российских военных атакует шпионский вирус, встроенный в навигационное приложение для Android
Российские военные оказались целью новой шпионской кампании, в рамках которой злоумышленники распространяют троян для Android под видом навигационного приложения. Эксперты компании «Доктор веб» показали, что набор функций позволяет оператору трояна отслеживать местоположение зараженных телефонов и загружать в них вспомогательные модули для кражи файлов по выбору.
Скрытая ИТ-атака
Новый шпионский троянец угрожает безопасности российских военных, об этом CNews сообщили представители компании «Доктор веб».
По данным «Доктор Веб», обнаружен троянизированный вариант навигатора Alpine Quest, которым в числе прочих пользуются российские военнослужащие в зоне специальной военной операции (СВО) России на Украине. Вредоносный репак раздается через Telegram и один из российских каталогов для Android.
Анализ эксперт по кибербезопасности показал, что набор функций Android.Spy.1292.origin (результат VirusTotal — 22/65 на 22 апреля 2025 г.) позволяет оператору отслеживать местоположение зараженных телефонов и загружать в них вспомогательные модули для кражи файлов по выбору.
Встроенный в копию легитимной программы троян раздается под видом бесплатной версии Alpine Quest Pro. На 24 апреля это основная программа, позволяющая не только ориентироваться на местности, но и корректировать огонь артиллерии. Для работы с ней необходимы смартфоны или планшеты на операционной системе (ОС) Android выше четвертой серии с обязательным наличием датчика спутниковой навигации и компаса. В нем можно пользоваться и хранить большое количество топографических карт, а также загружать свои карты. Кроме того, в Alpine Quest можно добавлять свои ориентиры, кроме того, приложение может работать без интернета.
Метод работы и распространения
Для распространения Alpine Quest Pro создан канал в мессенджере Telegram, в котором опубликована ссылка для скачивания из российского каталога приложений, а также выкладываются обновления.
При первом запуске Android.Spy.1292.origin запрашивает необходимые ему разрешения, в том числе на доступ к внешнему хранилищу. Получив их, троян собирает и отсылает на C2-сервер следующие сведения: учетные данные пользователя-жертвы, номер телефона; список контактов; текущая дата; текущая геолокация; пользовательские файлы; версия приложения. Некоторые данные дублируются в Telegram-бот злоумышленников, в том числе новые координаты жертвы. Все локации записываются в отдельный файл; когда вес файла превысит 100 МБ, он удаляется, и создается новый.
Вредоносное программное обеспечение (ПО), применяемое в шпионских операциях, нацелено на похищение конфиденциальных документов из Telegram и WhatsApp* (принадлежит Meta, которая признана в России экстремистской и запрещена), а также журнала locLog приложения Alpine Quest. Для их извлечения зловред получает команду на загрузку дополнительных модулей.
Таким образом, как предупреждают специалисты по кибербезопасности «Доктор Веб», Android.Spy.1292.origin не только позволяет следить за местоположением пользователей, но и похищать конфиденциальные файлы. При этом его функциональность может быть расширена через загрузку новых модулей, в результате чего он сможет выполнять более широкий спектр вредоносных действий.
Безопасность
Специалисты компании «Доктор Веб» рекомендуют устанавливать Android-приложения только из проверенных источников, таких как официальные каталоги ПО, и не загружать их из Telegram-каналов или с сомнительных сайтов — особенно если речь идет о якобы свободно доступных платных версиях программ.
При этом необходимо обращать внимание на то, от имени кого распространяются интересующие приложения, поскольку злоумышленники часто маскируются под настоящих разработчиков, используя для этого похожие имена и логотипы.
Если аккаунт друга или сослуживца взломали и он присылает подозрительные ссылки для скачивания, не спишите по ним переходить. Они могут содержать зловред, например, для кражи любых других данных. Будьте внимательны, ведь зловреды могут загружать дополнительные модули для кражи данных и скачивать мобильные приложения для этого не обязательно, заразить свое устройство можно просто кликнув по ссылке-приманки.
*WhatsApp (принадлежит Meta, которая признана в России экстремистской и запрещена).
Короткая ссылка
