Руските военнослужещи са обект на атаки с наскоро открит зловреден софтуер за Android, който открадва техните контакти и проследява местоположението им.

Зловредният софтуер е скрит в модифицирано приложение за софтуера за картографиране Alpine Quest, който се използва, наред с други, от ловци, спортисти и руските военни, намиращи се във военната зона в Украйна. Приложението показва различни топографски карти при използване онлайн и офлайн. Заразеното с троянски кон приложение Alpine Quest се разпространява в специален Telegram канал и в неофициалните хранилища за приложения за Android. Основният коз на „троянизираното“ приложение е, че то предоставя безплатна версия на Alpine Quest Pro, която обикновено е достъпна само за потребителите, които са си платили.

Зловредният модул носи името Android.Spy.1292.origin. В публикация в блога си изследователите от базираната в Русия компания за информационна безопасност Dr.Web пишат:

Тъй като Android.Spy.1292.origin е вграден в копие на истинско приложение, което изглежда и работи като оригинала, а това му дава възможност да остане незабелязан и да изпълнява злонамерени задачи за по-дълъг период от време.

Всеки път, когато се стартира, троянецът събира и изпраща следните данни до C&C сървъра:

• номера на мобилния телефон на потребителя и неговите акаунти;
• контактите от телефонния указател;
• текущата дата;
• текущото географско местоположение;
• информация за файловете, съхранявани на устройството;
• версията на приложението.

Ако има файлове, представляващи интерес за организаторите на тази заплаха, те могат да актуализират приложението с модул, който ги открадва. Участниците в атаката, стоящи зад Android.Spy.1292.origin, се интересуват най-вече от конфиденциалните документи, изпратени по Telegram и WhatsApp. Те проявяват интерес и към файла locLog – регистъра на местоположението, създаден от Alpine Quest. Модулният дизайн на приложението дава възможност то да получава допълнителни актуализации, които разширяват още повече неговите възможности.

Dr.Web не предоставя подробности за това кой може да стои зад създаването и разпространението на Android.Spy.1292.origin. Ако приемем, че това е Украйна – разумно предположение, като се има предвид продължаващата инвазия на Русия в съседната страна