Pesquisadores de cibersegurança revelaram que pessoal militar russo está sendo alvo de uma nova campanha maliciosa que distribui spyware para Android sob o disfarce do software de mapeamento Alpine Quest.
"Os atacantes escondem esse trojan dentro do software de mapeamento Alpine Quest modificado e o distribuem de várias maneiras, inclusive por meio de um dos catálogos de apps Android russos," disse a Doctor Web em uma análise.
O trojan foi encontrado embutido em versões antigas do software e propagado como uma variante gratuitamente disponível do Alpine Quest Pro, uma oferta paga que remove publicidade e recursos de análise.
O fornecedor russo de cibersegurança disse que também observou o malware, batizado de Android.Spy.1292.origin, sendo distribuído na forma de um arquivo APK por meio de um canal falso do Telegram.
Enquanto os atores da ameaça inicialmente forneciam um link para download do app em um dos catálogos russos pelo canal do Telegram, a versão com trojan foi mais tarde distribuída diretamente como um APK como uma atualização de app.
O que torna a campanha de ataque notável é que ela aproveita o fato de que o Alpine Quest é usado por pessoal militar russo na zona de Operação Militar Especial.
Uma vez instalado em um dispositivo Android, o app contaminado com malware parece e funciona exatamente como o original, permitindo que permaneça não detectado por longos períodos de tempo, enquanto coleta dados sensíveis:
-Número de telefone móvel e suas contas;
-Listas de contatos;
-Data e geolocalização atuais;
-Informações sobre arquivos armazenados, e
-Versão do app.
Além de enviar a localização da vítima toda vez que muda para um bot do Telegram, o spyware suporta a capacidade de baixar e executar módulos adicionais que permitem a exfiltração de arquivos de interesse, particularmente aqueles enviados via Telegram e WhatsApp.
"Android.Spy.1292.origin não só permite que localizações de usuários sejam monitoradas, mas também arquivos confidenciais sejam sequestrados", disse a Doctor Web.
Além disso, sua funcionalidade pode ser expandida via o download de novos módulos, o que permite então executar um espectro mais amplo de tarefas maliciosas.
Para mitigar o risco representado por tais ameaças, é aconselhado baixar apps Android apenas de mercados de apps confiáveis e evitar baixar versões "gratuitas" pagas de softwares de fontes duvidosas.
A divulgação ocorre enquanto a Kaspersky revelou que várias grandes organizações na Rússia, abrangendo os setores governamental, financeiro e industrial, foram alvo de um backdoor sofisticado ao se disfarçar de uma atualização para um software de rede segura chamado ViPNet.
"O backdoor visa computadores conectados às redes ViPNet", disse a empresa em um relatório preliminar.
O backdoor foi distribuído dentro de arquivos LZH com uma estrutura típica de atualizações para o software em questão. Dentro do arquivo está um executável malicioso ("msinfo32.exe") que atua como um carregador para um payload criptografado também incluído no arquivo.
O carregador processa o conteúdo do arquivo para carregar o backdoor na memória", disse a Kaspersky.
Esse backdoor é versátil: ele pode se conectar a um servidor C2 via TCP, permitindo que o atacante roube arquivos de computadores infectados e lance componentes maliciosos adicionais, entre outras coisas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...