Российских военных атакует Android-шпион, встроенный в Alpine Quest

Российских военных атакует Android-шпион, встроенный в Alpine Quest

Российских военных атакует Android-шпион, встроенный в Alpine Quest

Обнаружен троянизированный вариант навигатора Alpine Quest, которым в числе прочих пользуются военнослужащие в зоне СВО. По данным «Доктор Веб», вредоносный репак раздается через Telegram и один из российских каталогов для Android.

Анализ показал, что набор функций Android.Spy.1292.origin (результат VirusTotal22/65 на 22 апреля) позволяет оператору отслеживать местоположение зараженных телефонов и загружать в них вспомогательные модули для кражи файлов по выбору.

Встроенный в копию легитимной программы троян раздается под видом бесплатной версии Alpine Quest Pro. Для его распространения создан телеграм-канал, в котором опубликована ссылка для скачивания из российского каталога приложений, а также выкладываются обновления.

 

При первом запуске Android.Spy.1292.origin запрашивает необходимые ему разрешения, в том числе на доступ к внешнему хранилищу. Получив их, троян собирает и отсылает на C2-сервер следующие сведения:

  • учетные данные жертвы, номер телефона;
  • список контактов;
  • текущая дата;
  • текущая геолокация;
  • пользовательские файлы;
  • версия приложения.

Часть информации дублируется в телеграм-бот злоумышленников, в том числе новые координаты жертвы. Все локации записываются в отдельный файл; когда вес превысит 100 Мбайт, он удаляется, и создается новый.

Из хранимых файлов операторов шпиона больше всего интересуют конфиденциальные документы, передаваемые через Telegram и WhatsApp, а также журнал locLog приложения Alpine Quest. Для их вывода зловреду отдается команда на загрузку дополнительных модулей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Под блокировку Роскомнадзора попали уже 260 VPN

В настоящее время Роскомнадзор блокирует доступ к 258 сервисам VPN, не препятствующим доступу к запрещенному в стране контенту. В сравнении с прошлым годом черный список российского регулятора возрос почти на 31%.

В 2024 году под блок РКН попали 197 VPN. Новые цифры озвучил на проходящем в Сочи форуме Спектр-2025 Владислав Смирнов, возглавляющий исследования перспективных технологий в ГРЧЦ (Главный радиочастотный центр, работает под эгидой РКН).

Со слов спикера корреспондент ТАСС также пишет, что в 2025 году в рунете было заблокировано 252 анонимных имейл-сервиса (+20% в сравнении с 2024-м), 173 приложения (+28%), 410 источников вредоносных программ и 119 тыс. фишинговых сайтов (+441%).

По всей видимости, речь идет о ресурсах, уличенных в нарушении российского законодательства и попавших за это в реестр запрещенных Роскомнадзором.

Блокировка таких правонарушителей осуществляется с помощью технических средств противодействия угрозамТСПУ. Это оборудование устанавливается у интернет-провайдеров, но находится в ведении РКН.

Напомним, с марта прошлого года в России под блок могут попасть не только VPN-сервисы, игнорирующие требования регулятора рунета, но также ресурсы, рекламирующие VPN как средство обхода ограничений, введенных Роскомнадзором.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru