Cybersecurity -onderzoekers hebben onthuld dat Russische militairen het doelwit zijn van een nieuwe kwaadaardige campagne die Android -spyware distribueert onder het mom van de Alpine Quest Mapping -software.
“De aanvallers verbergen deze Trojan binnen gemodificeerde Alpine Quest Mapping -software en distribueren deze op verschillende manieren, inclusief via een van de Russische Android -app -catalogi,” zei Doctor Web in een analyse.
De Trojan is ingebed in oudere versies van de software en gepropageerd als een vrij beschikbare variant van Alpine Quest Pro, een programma met geavanceerde functionaliteit.
De Russische leverancier van cybersecurity zei dat het ook de malware observeerde, nagesynchroniseerd Android.Spy.1292.origin, die werd gedistribueerd in de vorm van een APK -bestand via een nep telegramkanaal.
Hoewel de dreigingsacteurs aanvankelijk een link boden voor het downloaden van de app in een van de Russische app -catalogi via het Telegram -kanaal, werd de Trojanized -versie later direct gedistribueerd als APK als app -update.
Wat de aanvalscampagne opmerkelijk maakt, is dat het profiteert van het feit dat Alpine Quest wordt gebruikt door Russisch militair personeel in de speciale militaire operatiezone.
Eenmaal geïnstalleerd op een Android -apparaat, ziet de malware -raced -app eruit en functioneert net als het origineel, waardoor het gedurende langere tijd onopgemerkt blijft, terwijl het gevoelige gegevens verzamelt –
- Mobiel telefoonnummer en hun accounts
- Contactlijsten
- Huidige datum en geolocatie
- Informatie over opgeslagen bestanden, en
- App -versie
Naast het verzenden van de locatie van het slachtoffer elke keer dat het verandert in een Telegram -bot, ondersteunt de spyware de mogelijkheid om extra modules te downloaden en uit te voeren waarmee het bestanden van interesse kan worden geëxticeerd, met name die verzonden via Telegram en WhatsApp.
“Android.Spy.1292.Origin staat niet alleen toe dat gebruikerslocaties worden gecontroleerd, maar ook vertrouwelijke bestanden kunnen worden gekaapt,” zei Doctor Web. “Bovendien kan de functionaliteit ervan worden uitgebreid via de download van nieuwe modules, waardoor het vervolgens een breder spectrum van kwaadaardige taken kan uitvoeren.”
Om het risico van dergelijke bedreigingen te verminderen, wordt het geadviseerd om Android -apps alleen te downloaden van vertrouwde app -marktplaatsen en te voorkomen dat “gratis” betaalde versies van software uit dubieuze bronnen worden gedownload.
Russische organisaties gericht op nieuwe Windows Backdoor
De openbaarmaking komt wanneer Kaspersky onthulde dat verschillende grote organisaties in Rusland, over de overheid, financiën en industriële sectoren, zijn gericht door een geavanceerde achterdeur door het te vermomd als een update voor een veilige netwerksoftware genaamd VIPNET.
“De backdoor richt zich op computers die zijn aangesloten op VIPNET -netwerken,” zei het bedrijf in een voorlopig rapport. “De achterdeur werd gedistribueerd in LZH -archieven met een structuur die typerend is voor updates voor het betreffende softwareproduct.”
Aanwezig in het archief is een kwaadaardig uitvoerbaar bestand (“MSINFO32.exe”) dat fungeert als een lader voor een gecodeerde payload die ook in het bestand is opgenomen.
“De lader verwerkt de inhoud van het bestand om de achterdeur in het geheugen te laden,” zei Kaspersky. Deze achterdeur is veelzijdig: het kan verbinding maken met een C2 -server via TCP, waardoor de aanvaller bestanden van geïnfecteerde computers kan stelen en extra kwaadaardige componenten kan starten. “
