Функционал шпиона
Троянец выполняет скрытый сбор конфиденциальных данных, включая:
✔ Контакты из телефонной книги – передача злоумышленникам списка абонентов.
✔ Геолокацию устройства – отслеживание перемещений пользователя.
✔ Информацию о файлах – анализ содержимого памяти смартфона.
✔ Загрузку дополнительных модулей – по команде злоумышленников может устанавливать дополнительные вредоносные компоненты для кражи данных.
Метод распространения
Злоумышленники выбрали Alpine Quest – популярное офлайн-картографическое приложение, востребованное среди:
- Спортсменов и туристов
- Охотников и путешественников
- Военнослужащих в зоне СВО (из-за возможности работы без интернета)
Схема атаки:
- Поддельная версия Alpine Quest Pro – троянец был вшит в старую версию приложения, которую выдавали за «улучшенную» Pro-версию.
- Распространение через Telegram – злоумышленники создали фейковый канал, где предлагали скачать зараженный APK.
- Обманное обновление – позже троян распространялся в том же канале под видом «официального апдейта».
Риски и последствия
Использование зараженного приложения приводит к:
- Утечке критически важных данных (местоположение, контакты, файлы).
- Возможности удаленного контроля над устройством.
- Компрометации оперативной информации, что особенно опасно для военных.
Рекомендации по защите
- Загружать приложения только из официальных магазинов (Google Play, AppGallery).
- Проверять источники в Telegram и других каналах распространения.
- Использовать мобильные антивирусы (например, Dr.Web для Android) для выявления подобных угроз.
Данная атака демонстрирует целенаправленный характер угроз, использующих доверие пользователей к популярным приложениям. Военнослужащим и другим пользователям Alpine Quest следует проявлять повышенную бдительность при установке ПО и проверять его на наличие вредоносного кода.
Поскольку Android.Spy.1292.origin встроен в копию настоящего приложения, после установки он выглядит и работает как оригинальная программа, что позволяет ему дольше оставаться незамеченным и выполнять вредоносные функции.
При каждом запуске троян собирает и передает на управляющий сервер следующие данные:
- учетные записи пользователя и его номер мобильного телефона;
- контакты из телефонной книги;
- текущую дату;
- текущую геолокацию;
- сведения о хранящихся на устройстве файлах;
- версию приложения.
При этом он дублирует часть информации в принадлежащий атакующим Telegram-бот. Например, троян отправляет ему данные о новых координатах при каждой смене местоположения устройства.
Получив информацию о доступных файлах, злоумышленники могут дать трояну команду загрузить и запустить вспомогательные модули, с помощью которых тот сможет похищать нужные файлы. Проведенный анализ показал, что создателей шпиона в частности интересуют конфиденциальные документы, которые пользователи передают через мессенджеры Telegram и WhatsApp, а также файл журнала локаций locLog, создаваемый непосредственно программой Alpine Quest.
Таким образом, Android.Spy.1292.origin не только позволяет следить за местоположением пользователей, но и похищать конфиденциальные файлы. При этом его функциональность может быть расширена через загрузку новых модулей, в результате чего он сможет выполнять более широкий спектр вредоносных действий.
Специалисты компании «Доктор Веб» рекомендуют устанавливать Android-приложения только из проверенных источников, таких как официальные каталоги ПО, и не загружать их из Telegram-каналов или с сомнительных сайтов — особенно если речь идет о якобы свободно доступных платных версиях программ. При этом необходимо обращать внимание на то, от имени кого распространяются интересующие приложения, поскольку злоумышленники часто маскируются под настоящих разработчиков, используя для этого похожие имена и логотипы.
Для защиты Android-устройств необходимо пользоваться антивирусом. Dr.Web Security Space для мобильных устройств надежно детектирует и удаляет трояна Android.Spy.1292.origin, поэтому для наших пользователей он опасности не представляет.
Компания представила обновлённую версию Kaspersky Secure Mobility Management — платформы для управления безопасностью рабочих мобильных устройств.
Директор Игорь Сухарев и продакт-менеджер Андрей Волошко из «А-Реал Консалтинг» побывали на производстве «АТБ Электроника». Этот визит стал важным шагом в развитии продуктовой линейки ИКС — межсетевых экранов для защиты информации
МойОфис объявляет о релизе Mailion 2.2. Одна из главных его особенностей — обновленный, интуитивно понятный пользовательский интерфейс, помогающий ускорить выполнение основных задач. Обновление содержит улучшения в работе с цепочками писем, календарем, планированием встреч в мобильном приложении и миграцией почтовых ящиков
Группа компаний «Солар» и «Группа Астра» подтвердили совместимость комплексного решения для безопасной разработки приложений Solar appScreener и платформы для разработки GitFlic (компания «РеСолют»). Интеграция двух решений позволяет выстроить цикл DevSecOps с соблюдением требований ФСТЭК России, Банка России и других регуляторов рынка к программным продуктам
«Киберпротект» сообщает об обновлении продукта Кибер Бэкап Облачный. Востребованный на рынке облачный сервис резервного копирования, доступный пользователям многих российских провайдеров, получил новые возможности по направлениям кроссплатформенности, информирования и безопасности. Расширена поддержка российских и свободно распространяемых ОС, спектра СУБД на основе PostgreSQL, представлена поддержка сервисов Почта и Диск платформы VK WorkSpace, реализована интеграция с системами SIEM. Кибер Бэкап Облачный теперь способен с большей эффективностью защищать ИТ-инфраструктуру пользователей из самых разных отраслей с минимальными затратами на внедрение и поддержку
Компания «Киберпротект» представила новую версию корпоративного решения для синхронизации и безопасного обмена файлами Кибер Файлы 9.2
Новое в версии 3.0.170.27
Системный интегратор и вендор «Айди-Технологии управления» и разработчик ИИ-решений для интеллектуальной обработки информации Content AI подтвердили совместимость работы ECM-платформы Documino c IDP-платформой ContentCapture®
Выбирайте безопасный цифровой мир. Приложение Dr.Web Family Security — это надежный инструмент для цифровой заботы о близких
Ваши контактные данные не публикуются на сайте.