Spyware Android disfarçado de App Alpine Quest tem como alvo dispositivos militares russos

Pesquisadores revelaram que militares russos são o alvo de uma nova campanha maliciosa que distribui spyware Android sob o disfarce do software de mapeamento Alpine Quest.

"Os invasores ocultam este trojan dentro do software de mapeamento Alpine Quest modificado e o distribuem de várias maneiras, incluindo por meio de um dos catálogos de aplicativos Android russos", afirmou a Doctor Web em uma análise.

O trojan foi encontrado incorporado em versões mais antigas do software e propagado como uma variante gratuita do Alpine Quest Pro, um programa com funcionalidades avançadas.

A fornecedora russa de segurança cibernética disse ter observado também o malware, apelidado de Android.Spy.1292.origin, sendo distribuído na forma de um arquivo APK por meio de um canal falso no Telegram.

Embora os invasores inicialmente fornecessem um link para download do aplicativo em um dos catálogos de aplicativos russos através do canal do Telegram, a versão infectada foi posteriormente distribuída diretamente como um APK, como uma atualização de aplicativo.

O que torna a campanha de ataque notável é o fato de que ela se aproveita do uso do Alpine Quest por militares russos na zona da Operação Militar Especial.

Uma vez instalado em um dispositivo Android, o aplicativo infectado com malware tem a mesma aparência e funciona como o original, permitindo que permaneça não detectado por longos períodos de tempo, enquanto coleta dados confidenciais:

• Número de telefone celular e suas contas

• Listas de contatos

• Data e geolocalização atuais

• Informações sobre arquivos armazenados

• Versão do aplicativo

Além de enviar a localização da vítima para um bot do Telegram cada vez que ela muda, o spyware suporta a capacidade de baixar e executar módulos adicionais que permitem exfiltrar arquivos de interesse, particularmente aqueles enviados via Telegram e WhatsApp.

"O Android.Spy.1292.origin não apenas permite o monitoramento da localização do usuário, mas também o roubo de arquivos confidenciais", afirmou a Doctor Web. "Além disso, sua funcionalidade pode ser expandida através do download de novos módulos, o que permite executar um espectro mais amplo de tarefas maliciosas."

Para mitigar o risco representado por tais ameaças, é aconselhável baixar aplicativos Android apenas de lojas de aplicativos confiáveis e evitar o download de versões "gratuitas" pagas de software de fontes duvidosas.

Organizações Russas Alvejadas por Novo Backdoor Windows

A revelação ocorre no momento em que a Kaspersky divulgou que várias grandes organizações na Rússia, abrangendo os setores governamental, financeiro e industrial, foram alvo de um backdoor sofisticado, que se disfarça como uma atualização para um software de rede segura chamado ViPNet.

"O backdoor alveja computadores conectados a redes ViPNet", afirmou a empresa em um relatório preliminar. "O backdoor foi distribuído dentro de arquivos LZH com uma estrutura típica de atualizações para o produto de software em questão."

Presente no arquivo está um executável malicioso ("msinfo32.exe") que atua como um carregador para um payload criptografado também incluído no arquivo.

"O carregador processa o conteúdo do arquivo para carregar o backdoor na memória", explicou a Kaspersky. "Este backdoor é versátil: ele pode se conectar a um servidor C2 via TCP, permitindo que o invasor roube arquivos de computadores infectados e execute componentes maliciosos adicionais, entre outras coisas."

Via - THN