Российских военных атакует Android-шпион, встроенный в Alpine Quest

Российских военных атакует Android-шпион, встроенный в Alpine Quest

Российских военных атакует Android-шпион, встроенный в Alpine Quest

Обнаружен троянизированный вариант навигатора Alpine Quest, которым в числе прочих пользуются военнослужащие в зоне СВО. По данным «Доктор Веб», вредоносный репак раздается через Telegram и один из российских каталогов для Android.

Анализ показал, что набор функций Android.Spy.1292.origin (результат VirusTotal22/65 на 22 апреля) позволяет оператору отслеживать местоположение зараженных телефонов и загружать в них вспомогательные модули для кражи файлов по выбору.

Встроенный в копию легитимной программы троян раздается под видом бесплатной версии Alpine Quest Pro. Для его распространения создан телеграм-канал, в котором опубликована ссылка для скачивания из российского каталога приложений, а также выкладываются обновления.

 

При первом запуске Android.Spy.1292.origin запрашивает необходимые ему разрешения, в том числе на доступ к внешнему хранилищу. Получив их, троян собирает и отсылает на C2-сервер следующие сведения:

  • учетные данные жертвы, номер телефона;
  • список контактов;
  • текущая дата;
  • текущая геолокация;
  • пользовательские файлы;
  • версия приложения.

Часть информации дублируется в телеграм-бот злоумышленников, в том числе новые координаты жертвы. Все локации записываются в отдельный файл; когда вес превысит 100 Мбайт, он удаляется, и создается новый.

Из хранимых файлов операторов шпиона больше всего интересуют конфиденциальные документы, передаваемые через Telegram и WhatsApp, а также журнал locLog приложения Alpine Quest. Для их вывода зловреду отдается команда на загрузку дополнительных модулей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Газпромбанк сообщил о фейковом приложении в App Store

«Газпромбанк» предупредил о появлении в App Store мошеннического приложения под названием «Газпромбанк Мой Кабинет». Подчеркивается, что официального приложения банка в App Store нет.

Об этом банк сообщил в своём официальном телеграм-канале.

«Информируем, что доступное для iOS приложение под названием "Газпромбанк Мой Кабинет" является мошенническим. Не скачивайте приложение и не вводите никаких данных. При возникновении вопросов, пожалуйста, звоните нам по номеру 400 или 8 800 100 07 01», — говорится в официальном сообщении банка.

По информации банка, поддельное приложение собирает личные и платёжные данные пользователей. Тем, кто уже установил его, рекомендуется немедленно удалить программу и сменить пароли в онлайн-банке.

Как отметили в «Газпромбанке», официального приложения банка, как и у многих других российских финансовых организаций, в App Store нет. Для работы с интернет-банком клиентам предлагается использовать веб-версию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru