Rus askerleri tarafından savaş bölgesi operasyonel planlamasının bir parçası olarak kullanıldığı bildirilen Alpine Quest haritalama uygulamasının truva atı sürümlerinde gizli yeni bir Android kötü amaçlı yazılım keşfedildi.
Saldırganlar, TeleRam kanallarını ve dağıtım için Rus uygulama kataloglarını kullanarak, Truva AP uygulamasını Premium Alpine Quest Pro'nun ücretsiz, çatlak bir versiyonu olarak tanıtıyor.
Alpinequest, maceracılar, sporcular, arama ve kurtarma ekipleri ve askeri personel tarafından kullanılan Android için çevrimdışı yetenekleri ve hassasiyeti için değer verilen meşru bir GPS ve Topografik Haritalama Uygulamasıdır.
Uygulamanın iki sürümü vardır: sınırlı özelliklere sahip ücretsiz bir Lite sürümü ve kütüphaneleri, analitikleri ve reklamları izlemeyen ücretli bir Pro sürümü.
Rus mobil antivirüs şirketi Doctor Web'de araştırmacılar tarafından keşfedilen casus yazılım, tamamen çalışan bir Alpe Quest uygulamasında saklanır, şüpheyi azaltır ve değerli veri hırsızlığı fırsatları yaratır.
Bir kez başlatıldıktan sonra, iletişim verilerini ve hassas belgeleri cihazdan çalmaya çalışır ve ordu operasyonları hakkında potansiyel olarak ayrıntıları ortaya çıkarır. Özellikle, casus yazılım aşağıdaki eylemleri gerçekleştirir:
Doctor Web, daha önce belgelenmemiş casus yazılımları 'Android.spy olarak izler. 1292. Uzlaşma göstergeleri burada mevcuttur.
Askerleri hedefleme taktiği daha önce Rus ordusu için istihbarat toplayan devlet destekli tehdit gruplarıyla bağlantılı olan Rus hack operasyonlarıyla ilişkiliydi.
Aralık 2022'de, Ukrayna Savunma Bakanlığı e -posta hesabını kullanan bilgisayar korsanları, Bait olarak Ukrayna istihbarat koleksiyonu ve yönetim sistemi Delta'yı kullanarak sonraki enfeksiyonları denedi.
Ekim 2024'te, Rus tehdit grubu 'UNC5812', 'Sivil Savunma' adlı sahte bir ajans aracılığıyla Windows ve Android kötü amaçlı yazılımlarla Ukrayna istifalarını hedefledi.
Daha yakın zamanlarda, Şubat 2025'te Google araştırmacıları, APT44 grubunun Rus tehdit aktörlerinin, hedefleri sinyal hesaplarını yetkisiz cihazlarla senkronize etmek için kandırmak için kötü niyetli QR kodları kullandıklarını açıkladı.
Truva atlı Alpinequest uygulamasının keşfi, bu sinsi saldırıların çatışmanın her iki ucundan da düzenlendiğini gösteriyor, çünkü istihbarat toplama savaş alanı avantajı elde etmek için çok önemli.
GÜNCELLEME 4/24 - Bir Google sözcüsü, yukarıdakilerle ilgili olarak aşağıdaki ifadeyi BleepingComputer'a gönderdi:
"Android kullanıcıları, Google Play Services ile Android cihazlarda varsayılan olarak açık olan Google Play Protect tarafından bu kötü amaçlı yazılımların bilinen sürümlerine karşı otomatik olarak korunur. Google Play Protect, bu uygulamalar oyun dışındaki kaynaklardan geldiğinde bile kullanıcıları veya kötü niyetli davranışlar sergilediği bilinen uygulamaları engelleyebilir." - Bir Google Sözcüsü
Yeni Kuzey Koreli Android casus yazılım Google Play'e kayıyor
Sırp polisi, Android telefonların kilidini açmak için Cellebrite sıfır gün hack kullandı
Spylend Android kötü amaçlı yazılım Google Play'den 100.000 kez indirildi
Yeni Android kötü amaçlı yazılım, NFC röle saldırıları için kredi kartlarınızı çalıyor
Rus hackerlar kötü niyetli bir sürüş kullanarak Batı askeri görevine saldırıyor
Kaynak: Bleeping Computer